¿Cómo instalar y configurar Cytomic SIEM Connect ArcSight Connector v1.00.00?

+34 900 840 407

support@cytomic.ai

Introducción

Requisitos de instalación

Instalación y configuración

¿Cómo instalar y configurar Cytomic SIEM Connect ArcSight Connector v1.00.00?

Productos Relacionados_

Cytomic SIEM Connect

Introducción_

Este artículo contiene toda la información necesaria para instalar y configurar el conector Cytomic SIEM Connect ArcSight Connector v1.00.00. El objetivo de este conector es enviar al servidor SIEM ArcSight los ficheros que Cytomic Importer descarga desde la nube de Advanced. Estos ficheros contienen un registro de todas las acciones ejecutadas por los programas instaladas en los equipos que pertenecen a la infraestructura IT del cliente, y que son monitorizadas por Advanced EPDR/EDR. Los ficheros descargados se almacenarán en una carpeta del equipo y, una vez enviados al servidor SIEM ArcSight, éste los interpretará e incorporará automáticamente a su base de datos.

Requisitos de instalación_

Para completar con éxito el envío de los ficheros descargados por Cytomic Importer al servidor SIEM ArcSight es necesario cumplir con la lista de recursos siguiente:

Instalar el programa Cytomic Importer. Consulta este artículo para obtener el programa e información sobre su instalación y configuración.
Instalar el programa ArcSight SmartConnector en el mismo equipo donde se instaló el programa Cytomic Importer o en un equipo que pueda acceder a los directorios compartidos donde Cytomic Importer almacena la información descargada desde la nube de Cytomic. Consulta este artículo para obtener el programa y accede a este enlace (en inglés) para obtener información sobre su instalación y configuración.

- Descargar y descomprimir el fichero connectorconfig-files.zip, que contiene los ficheros:
  - agent.properties con la configuración básica del entorno.
  - SiemImporter.sdkrfilereader.properties con las correspondencias de los campos incluidos en los logs descargados por Cytomic Importer a los definidos en ArcSight.

Instalación y configuración_

Para instalar correctamente Cytomic SIEM Connect ArcSight Connector v1.00.00 es necesario especificar una serie de parámetros para su correcta ejecución. Además, es necesario importar el certificado que garantizará el encriptado de la información que se transmitirá entre el equipo con el programa ArcSight SmartConnector instalado y el servidor SIEM ArcSight.

Nota: Antes de comenzar el procedimiento verifica el apartado Requisitos de instalación. Las pantallas mostradas en esta guía pueden no coincidir con la versión instalada por el administrador.

Para instalar el conector, sigue los pasos siguientes:

Instala el programa ArcSight SmartConnector. Consulta Requisitos de instalación para obtener el programa y la guía de instalación.
Una vez terminado el proceso selecciona Add a Connector y haz clic en Next.
Para que el conector envíe de forma automática al servidor SIEM los ficheros almacenados por Cytomic Importer en el directorio elegido, selecciona ArcSight Flex Connector Regex Folder File en el desplegable Type. A continuación, haz clic en Next.

Definir los parámetros del conector

Cumplimenta los campos siguientes:
- Log Unparsed Events: selecciona True en el desplegable.
- Log Folder: introduce la ruta donde se almacenan los ficheros descargados por Cytomic Importer.
- Configuration File: introduce SiemImporter.
Copia el fichero SiemImporter.sdkrfilereader.properties que has descargado previamente, en el directorio /opt/arcsight/connectors/SiemImporter/current/user/agent/flexagent y haz clic en Next.

Definir los parámetros de destino
Introduce el nombre o la dirección IP del equipo que contiene el manager de ArcSight, nombre de usuario y contraseña y haz clic en Next.

Describir el conector
Introduce los datos informativos necesarios para la descripción del conector (Name, Location, Device Location, Comment).

Importar el certificado
Para un correcto funcionamiento del conector, es necesario importar el certificado que hace posible el cifrado de la comunicación entre el equipo con el programa SmartConnect instalado y el equipo que contiene el manager de ArcSight. Para ello:

Selecciona la opción de importar el certificado, y haz clic en Next.
Comprueba que los datos del conector son correctos, y haz clic en Next.

La instalación del conector ha finalizado.

Configurar como servicio o aplicación
Finalmente, selecciona si deseas que el conector se instale como aplicación o como un servicio/demonio.
Haz clic en Next y, después, en Exit para finalizar el proceso.

Ajustes finales de la instalación
Para que el conector funcione correctamente es necesario actualizar las entradas del fichero agent.properties almacenado en /opt/arcsight/connectors/SiemImporter/current/user/agent/ copiando el contenido especificado en el fichero suministrado por Cytomic, previamente descargado. Las entradas a modificar son las siguientes:

agents[0].configfile
agents[0].destination[0].xxx (todas las filas que empiezan por agents[0].destination[0])
agents[0].entityid
agents[0].id
agents[0].folder

Una vez completada la modificación graba el fichero agent.properties.

+34 900 840 407

support@cytomic.ai

Installation requirements of products based on Cytomic Platform for Windows

Related Products_

Cytomic EPDR
Cytomic EDR

Supported Operating Systems_

Workstations

Windows XP 32-bits SP3
Windows Vista (32 and 64-bits)
Windows 7 (32 and 64-bits)
Windows 8 (32 and 64-bits)
Windows 8.1 (32 and 64-bits)
Windows 10 (32 and 64-bits)

Servers

Windows 2003 (32, 64-bits and R2) SP2 and superiores
Windows 2008 (32 and 64-bits) and 2008 R2
Windows Small Business Server 2011, 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server Core 2008, 2008 R2, 2012 R2, 2016 and 2019

Hardware Requirements_

Processor: CPU with x86 or x64 architecture and with support of at least SSE2
RAM: 1 Gbyte
Free space in disk for the installation: 650 Mbytes

Requirements for Windows Exchange Platforms_

Supported operating systems

Exchange 2003: Windows Server 2003 32-bits SP2+ and Windows Server 2003 R2 32-bits
Exchange 2007: Windows Server 2003 64-bits SP2+, Windows Server 2003 R2 64-bits, Windows 2008 64-bits and Windows 2008 R2
Exchange 2010: Windows 2008 64-bits and Windows 2008 R2
Exchange 2013: Windows Server 2012 y Windows Server 2012 R2
Exchange 2016: Windows Server 2012, Windows Server 2012 R2 and Windows Server 2016.
Exchange 2019: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019.

Hardware and software requirements

The hardware requirements to install the protection on Exchange servers are the ones determined by the Exchange Server:

Exchange 2003: http://technet.microsoft.com/es-es/library/cc164322(v=exchg.65).aspx
Exchange 2007: http://technet.microsoft.com/es-es/library/aa996719(v=exchg.80).aspx
Exchange 2010: http://technet.microsoft.com/es-es/library/aa996719(v=exchg.141).aspx
Exchange 2013: http://technet.microsoft.com/es-es/library/aa996719(v=exchg.150).aspx
Exchange 2016: https://technet.microsoft.com/es-es/library/aa996719(v=exchg.160).aspx

Exchange versions supported

Microsoft Exchange Server 2003 Standard and Enterprise (SP1 / SP2)
Microsoft Exchange Server 2007 Standard and Enterprise (SP0 / SP1 / SP2 / SP3)
Microsoft Exchange Server 2007 included in Windows SBS 2008
Microsoft Exchange Server 2010 Standard and Enterprise (SP0 / SP1 / SP2)
Microsoft Exchange Server 2010 included and Windows SBS 2011
Microsoft Exchange Server 2013 Standard and Enterprise
Microsoft Exchange Server 2016 Standard and Enterprise
Microsoft Exchange Server 2019 Standard and Enterprise