KWTS 6.0

Настройка передачи событий KSMG в KUMA

Данная инструкция применима для ~~KSMG~~KWTS версии 2.6.0

Чтобы настроить передачу событий ~~KSMG в~~KWTSв KUMA:

1. Подключитесь к серверу ~~KSMG~~KWTS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

Перед внесением изменений создайте резервные копии следующих файлов:
- /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template
- /etc/rsyslog.conf

2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/kwts/share/templates/core_settings/event_logger.json.template:

"siemSettings":
{
"enabled": true,
"facility": "Local2"Local5",
"logLevel": "Info",
}

3. В ~~файл~~не /etc/rsyslog.confсти изменени~~те строку:~~

*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

на

*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;local2.none /var/log/messages

~~4. Добавьте~~я в файл /etc/rsyslog.conf ~~следующую строку:~~

local2.* -/var/log/ksmg-cef-messages

~~5. Создайте файл~~ /var/log/ksmg-cef-messages ~~и настройте права доступа к нему. Для этого выполните команды:~~

touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages

~~6. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл~~ /etc/logrotate.d/ksmg-syslog ~~следующие строки~~:

$WorkDirectory /var/log/ksmg-cef-messageslib/rsyslog
{$ActionQueueFileName sizeForwardToSIEM
500M$ActionQueueMaxDiskSpace rotate1g
10$ActionQueueSaveOnShutdown notifemptyon
sharedscripts$ActionQueueType postrotateLinkedList
/usr/bin/systemctl kill$ActionResumeRetryCount -s HUP rsyslog.service >/dev/null 2>&1
||local5.* true@<IP-адрес endscriptколлектора }KUMA>:<порт коллектора>

7.4. Перезапустите сервис rsyslog с помощью следующей команды:
servicesudo rsyslogsystemctl restart rsyslog.service

~~Если вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции выше~~

8.5. В веб-интерфейсе приложения в разделе Параметры → Syslog~~Журналы и события~~ → ~~События~~ в~~нес~~ключите опцизю Записывать информ~~енен~~ациею ~~в значение любог~~о парамофиле трафика и нажмите на кнопку Сохранить.

Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий ~~KSMG.~~KWTS.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне ~~KSMG.~~KWTS.

2. На шаге Парсинг событий выберите нормализатор [OOTB] ~~KSMG~~KWTS syslog CEF.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

~~Публи~~Настройкац получения событий ~~в SIEM-систему~~KWTS (онлайн-справка ~~KSMG)~~KUMA): https://support.kaspersky.com/~~KSMG/~~help/KUMA/2.0.1/ru-RU/~~151504.~~254373.htm