Чтобы проверять события, поступающие в QRadar, через Kaspersky CyberTrace Service, необходимо настроить в QRadar пересылку событий в Kaspersky CyberTrace Service.
Чтобы пересылать события из QRadar в Kaspersky CyberTrace Service, выполните следующие действия:
«KL_Threat_Feed_Service_v2»
).Payload
и протокол TCP
.Формат Payload
может содержать меньше информации по сравнению с форматом JSON
. Например, если используются имена источников событий, QRadar может удалять их из события. Вместо этого можно указать формат JSON
, однако его важно правильно настроить. Инструкция по настройке событий в формате JSON
для пересылки в Kaspersky CyberTrace приведена в подразделе «Рекомендации по настройке событий в формате JSON» ниже.
Добавление назначения пересылки
KL_Threat_Feed_Service_v2_Rule
).Online
.Events
в качестве источника данных.Выберите источники журналов вместе с KL_Verification_Tool
и используйте оператор Equals any of
в фильтре. Кроме того, для достижения максимальной производительности сервиса рекомендуется выбирать только те события, которые содержат индикаторы для поиска в потоках данных об угрозах (например, URL, хеши (MD5, SHA1, SHA256) и IP-адреса).
Снимите или оставьте снятым флажок Match all incoming events, чтобы события обнаруженных киберугроз, полученные от Kaspersky CyberTrace Service, не отправлялись обратно в Kaspersky CyberTrace Service.
KL_Threat_Feed_Service_v2
). Добавление правила маршрутизации
Рекомендации по настройке событий в формате JSON
Некоторые версии QRadar (например, 7.3.2 Patch 6 и 7.4.0) могут отбрасывать некоторые пересылаемые события в формате JSON
, что может привести к некорректным результатам. Чтобы этого не происходило, рекомендуется исключить некоторые поля из события в формате JSON
(для получения полного списка таких полей обратитесь в службу поддержки IBM QRadar или попытайтесь определить этот список вручную). В веб-интерфейсе Kaspersky CyberTrace необходимо указать дополнительные правила нормализации (см. ниже).
Поэтому формат JSON
следует использовать вместо формата Payload
, если событие в формате Payload
не содержит необходимых полей. В таком случае следует убедиться, что выполняются следующие условия:
Настройка событий в формате JSON
Настройка дополнительных правил нормализации