Soporte técnico

¿Necesitas ayuda?

 

¿Cómo instalar y configurar Panda SIEMFeeder ArcSight Connector v1.00.00?

Información aplicable a:

Productos
Panda SIEMFeeder

Introducción
Este artículo contiene toda la información necesaria para instalar y configurar el conector Panda SIEMFeeder ArcSight Connector v1.00.00. El objetivo de este conector es enviar al servidor SIEM ArcSight los ficheros que Panda Importer descarga desde la nube de Panda Security. Estos ficheros contienen un registro de todas las acciones ejecutadas por los programas instaladas en los equipos que pertenecen a la infraestructura IT del cliente, y que son monitorizadas por Panda Adaptive Defense 360 y Panda Adaptive Defense. Los ficheros descargados se almacenarán en una carpeta del equipo y, una vez enviados al servidor SIEM ArcSight, éste los interpretará e incorporará automáticamente a su base de datos.

Requisitos de instalación
Para completar con éxito el envío de los ficheros descargados por Panda Importer al servidor SIEM ArcSight es necesario cumplir con la lista de recursos siguiente:
  • Instalar el programa Panda Importer. Consulta este artículo para obtener el programa e información sobre su instalación y configuración.
  • Instalar el programa ArcSight SmartConnect en el mismo equipo donde se instaló el programa Panda Importer o en un equipo que pueda acceder a los directorios compartidos donde Panda Importer almacena la información descargada desde la nube de Panda Security. Consulta este enlace para obtener el programa y accede a este enlace para obtener información sobre su instalación y configuración.
  • Descargar y descomprimir el fichero connectorconfig-files.zip, que contiene los ficheros:
    • agent.properties con la configuración básica del entorno.
    • SiemImporter.sdkrfilereader.properties con las correspondencias de los campos incluidos en los logs descargados por Panda Importer a los definidos en ArcSight.
Instalación y configuración
Para instalar correctamente Panda SIEMFeeder ArcSight Connector v1.00.00 es necesario especificar una serie de parámetros para su correcta ejecución. Además, es necesario importar el certificado que garantizará el encriptado de la información que se transmitirá entre el equipo con el programa ArcSight SmartConnector instalado y el servidor SIEM ArcSight.

Nota: Antes de comenzar el procedimiento verifica el apartado Requisitos de instalación. Las pantallas mostradas en este artículo pueden no coincidir con la versión instalada por el administrador.

Para instalar el conector, sigue los pasos siguientes:
  1. Instala el programa ArcSight SmartConnector. Consulta Requisitos de instalación para obtener el programa y la guía de instalación.
  2. Una vez terminado el proceso selecciona Add a Connector y haz clic en Next.

  3. Para que el conector envíe de forma automática al servidor SIEM los ficheros almacenados por Panda Importer en el directorio elegido, selecciona ArcSight Flex Connector Regex Folder File en el desplegable Type. A continuación, haz clic en Next.


Definir los parámetros del conector
  • Cumplimenta los campos siguientes:
    • Log Unparsed Events: selecciona True en el desplegable.
    • Log Folder: introduce la ruta donde se almacenan los ficheros descargados por Panda Importer.
    • Configuration File: Introduce SiemImporter.

  • Copia el fichero SiemImporter.sdkrfilereader.properties que has descargado previamente, en el directorio
    /opt/arcsight/connectors/SiemImporter/current/user/agent/flexagent y haz clic en Next.

Definir los parámetros de destino
Introduce el nombre o la dirección IP del equipo que contiene el manager de ArcSight, nombre de usuario y contraseña y haz clic en Next.

Describir el conector
Introduce los datos informativos necesarios para la descripción del conector (Name, Location, Device Location, Comment).

Importar el certificado
Para un correcto funcionamiento del conector, es necesario importar el certificado que hace posible el cifrado de la comunicación entre el equipo con el programa SmartConnect instalado y el equipo que contiene el manager de ArcSight. Para ello:
  1. Selecciona la opción de importar el certificado, y haz clic en Next.
  2. Comprueba que los datos del conector son correctos, y haz clic en Next.
La instalación del conector ha finalizado.

Configurar como servicio o aplicación
Finalmente, selecciona si deseas que el conector se instale como aplicación o como un servicio/demonio.
Haz clic en Next y, después, en Exit para finalizar el proceso.

Ajustes finales de la instalación
Para que el conector funcione correctamente es necesario actualizar las entradas del fichero agent.properties almacenado en /opt/arcsight/connectors/SiemImporter/current/user/agent/ copiando el contenido especificado en el fichero suministrado por Panda Security, previamente descargado. Las entradas a modificar son las siguientes:
  • agents[0].configfile
  • agents[0].destination[0].xxx (todas las filas que empiezan por agents[0].destination[0])
  • agents[0].entityid
  • agents[0].id
  • agents[0].folder
Una vez completada la modificación graba el fichero agent.properties.

Ayuda nº- 20200722 950034 ES

¿Has resuelto tu consulta con este artículo?

no

Gracias por tu respuesta


¿Cómo mejoraría este artículo?




¿Desea Contactar con Soporte?

SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

Contacta con nuestros técnicos:

Escribe un email
SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

¿Eres un Partner o cliente de WatchGuard y necesitas ayuda con los productos Panda?

+ Info