Настройка CyberTrace для приема и обработки запросов
Вы можете настроить CyberTrace для приема и обработки запросов от KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе программы.
Чтобы настроить CyberTrace для приема и обработки запросов в мастере первоначальной настройки:
Дождитесь запуска мастера первоначальной настройки CyberTrace после установки программы.
Откроется окно Welcome to Kaspersky CyberTrace.
В раскрывающемся списке <select SIEM> выберите KUMA, и нажмите на кнопку Next.
Откроется окно Connection settings.
Выполните следующие действия:
В блоке параметров Service listens on выберите вариант IP and port.
В поле IP address введите 0.0.0.0.
В поле Port введите укажите порт для получения событий, порт по умолчанию 9999.
В блоке параметров Service sends events to в поле IP address or hostname укажите 127.0.0.1 и в полеPortукажите 9998.
Остальные значения оставьте по умолчанию.
Нажмите на кнопку Next.
Откроется окно Proxy settings.
Если в вашей организации используется прокси-сервер, укажите параметры соединения с ним. Если нет, оставьте все поля незаполненными и нажмите на кнопку Next.
Откроется окно Licensing settings.
В поле Kaspersky CyberTrace license key добавьте лицензионный ключ для программы CyberTrace.
В поле Kaspersky Threat Data Feeds certificate добавьте сертификат, позволяющий скачивать с серверов обновлений списки данных (data feeds), и нажмите на кнопку Next.
CyberTrace будет настроен.
Чтобы настроить CyberTrace для приема и обработки запросов в веб-интерфейсе программы:
В окне веб-интерфейса программы CyberTrace выберите раздел Settings – Service.
В блоке параметров Connection Settings выполните следующие действия:
Выберите вариант IP and port.
В поле IP address введите 0.0.0.0.
В поле Port укажите порт для приема событий, порт по умолчанию 9999.
В блоке параметров Web interface в поле IP address or hostname введите 127.0.0.1.
В верхней панели инструментов нажмите на кнопку Restart the CyberTrace Service.
Выберите раздел Settings – Events format.
В поле Alert events format введите %Date% alert=%Alert%%RecordContext%.
В поле Detection events format введите Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%.
В поле Records context format введите |%ParamName%=%ParamValue%.
В поле Actionable fields context format введите %ParamName%:%ParamValue%.
CyberTrace будет настроен.
После обновления конфигурации CyberTrace требуется перезапустить сервер CyberTrace.