ArcSight Forwarding Connector 設定でのカスタム ArcSight ユーザーの指定
2024年4月11日
ID 173055
このセクションでは、ArcSight Forwarding Connector 設定でカスタム ArcSight ユーザーを指定する方法について説明します。
ARB パッケージを ArcSight にインポートすると、FwdCyberTrace
ユーザーが Kaspersky CyberTrace Connector
グループ内に作成されます。このユーザーアカウントは、ArcSight Forwarding Connector が使用するためのものです。代わりに別のユーザーアカウントを使用できます。その場合は、FwdCyberTrace
ユーザーと Kaspersky CyberTrace Connector
グループを削除することを推奨します。カスタムユーザーは Forwarding Connector タイプを持つ必要があります。
ArcSight ESM から Kaspersky CyberTrace サービスにイベントを転送するためのカスタム ArcSight ユーザーアカウントを作成するには:
- ArcSight Console を実行します。
- [Navigator]ペインで[Resources]タブを選択します。
- ドロップダウンリストを開き、[Users]を選択します。
- ツリービューで、カスタムユーザーアカウントがあるユーザーグループを選択します。
このユーザーアカウントを、このユーザー専用に作成した別のユーザーグループに入れることを推奨します。
- ツリービューでグループエントリを右クリックして、[Edit Access Control]を選択します。
アクセスの設定の編集
- [Inspect/Edit]ペインで[Events]タブを選択します。
- [Add]をクリックします。
- 次のイベントフィルターを選択します:
CyberTrace forwarding events
これは、ハッシュ、URL、IP アドレスを含んだイベントが対象のフィルターです。
イベントフィルターの選択
- ArcSight Forwarding Connector をインストールまたは再構成します。
ArcSight Forwarding Connector を再構成する手順は、このセクションの以下で説明します。
ArcSight Forwarding Connector を再構成するには:
- 現在の作業ディレクトリを
%FORWARDING_DIR%/current/bin
に変更します。%FORWARDING_DIR%
は、ArcSight Forwarding Connector がインストールされているディレクトリです。 - runagentsetup.sh スクリプトを実行します。
- [Modify Connector]を選択し、[Next]をクリックします。
コネクターの変更
- [Modify connector parameters]を選択し、[Next]をクリックします。
コネクターのパラメータの変更
- ArcSight パラメータ、およびカスタムユーザーアカウントの資格情報を指定して、[Next]をクリックします。
ArcSight Source Manager のパラメータの指定
- [Next]→[Finish]の順にクリックして、[Connector Setup]ウィンドウの項目を確定します。