Настройка CyberTrace для приема и обработки запросов

Вы можете настроить CyberTrace для приема и обработки запросов от KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе программы.

Чтобы настроить CyberTrace для приема и обработки запросов в мастере первоначальной настройки:

  1. Дождитесь запуска мастера первоначальной настройки CyberTrace после установки программы.

    Откроется шаг 1 Добро пожаловать в Kaspersky CyberTrace. Переход между шагами мастера осуществляется с помощью кнопки Далее.

  2. На шаге 2 Настройка прокси-сервера, если в вашей организации используется прокси-сервер, укажите параметры соединения с ним. Если в вашей организации не используется прокси-сервер, оставьте все поля незаполненными.
  3. На шаге 3 Настройка лицензирования выберите метод добавления лицензионного ключа для программы CyberTrace: с помощью кода активации или с помощью файла лицензионного ключа. В зависимости от выбранного метода укажите код активации или загрузите файл лицензионного ключа.
  4. На шаге 4 Настройка сервиса оставьте значения по умолчанию.
  5. На шаге 5 Настройка управления данными выполните следующие действия:
    1. В раскрывающемся списке SIEM-система выберите KUMA.
    2. В блоке параметров Прослушивать выберите вариант IP-адрес и порт.
    3. В поле IP-адрес укажите 0.0.0.0.
    4. В поле Порт укажите порт для получения событий. Порт по умолчанию 9999.
    5. В блоке параметров Отправлять оповещения об обнаружении индикаторов компрометации в поле IP-адрес укажите 127.0.0.1 и в поле Порт укажите 9998.

    Остальные значения оставьте по умолчанию.

  6. На шаге 6 Настройка сертификата выберите опцию Коммерческий сертификат и добавьте сертификат, позволяющий скачивать с серверов обновлений потоки данных (data feeds).
  7. На шаге 7 Настройка потоков данных оставьте значения по умолчанию.

CyberTrace настроен.

Чтобы настроить CyberTrace для приема и обработки запросов в веб-интерфейсе программы:

  1. В окне веб-интерфейса программы CyberTrace перейдите в режим Управление данными: в левом меню выберите пункт Система, а затем в появившемся меню выберите пункт General.
  2. Выберите раздел НастройкаОбщие.
  3. В блоке параметров Прослушивать выполните следующие действия:
    1. Выберите вариант IP-адрес и порт.
    2. В поле IP-адрес введите 0.0.0.0.
    3. В поле Порт укажите порт для приема событий. Порт по умолчанию 9999.
  4. Выберите раздел НастройкаСлужебные оповещения.
  5. В поле Формат служебных оповещений введите %Date% alert=%Alert%%RecordContext%.
  6. В поле Формат контекста записей введите |%ParamName%=%ParamValue%.
  7. Выберите раздел НастройкаОповещения об обнаружении индикаторов компрометации.
  8. В поле Формат оповещения введите Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%.
  9. На вкладке Контекст в поле Поля контекста введите %ParamName%:%ParamValue%.
  10. Перейдите в режим Управление системой: в левом меню выберите пункт General, а затем в появившемся меню выберите пункт Система.
  11. Выберите раздел НастройкаСервис.
  12. В блоке параметров Веб-интерфейс в поле IP-адрес или имя хоста введите 127.0.0.1.
  13. В верхней панели инструментов нажмите на кнопку Перезапустить сервис.
  14. Перезапустите сервер CyberTrace.

CyberTrace настроен.

В начало