В этом разделе описывается порядок проверки возможностей Kaspersky CyberTrace с помощью проверки работоспособности.
Перед изменением каких-либо настроек процесса сопоставления необходимо выполнить проверку работоспособности.
Что такое проверка работоспособности
Проверка работоспособности — это процедура, позволяющая проверить возможности Kaspersky CyberTrace и убедиться в корректности интеграции.
В ходе проверки проверяется, поступают ли события из QRadar в Kaspersky CyberTrace Service, поступают ли события из Kaspersky CyberTrace Service в QRadar, и корректно ли проходит парсинг событий в Kaspersky CyberTrace Service с использованием регулярных выражений.
События могут не поступать на порт 514 сервера QRadar. Порядок разрешения этой проблемы приведен в разделе Отправка набора событий в QRadar.
О файле для проверки работоспособности
Файл для проверки работоспособности — это файл, содержащий набор событий с URL, IP-адресами и хешами. Этот файл находится в комплекте поставки в каталоге ./verification
. Имя файла — kl_verification_test_leef.txt
.
Порядок проверки работоспособности
Для проверки работоспособности установленного программного обеспечения, выполните следующие действия:
KL_Verification_Tool
и правила маршрутизации настроены таким образом, что события из KL_Verification_Tool
отправляются в Kaspersky CyberTrace Service.Log Source
.Equals
.Добавление фильтра для просмотра событий
В разделе Current Filters отображается строка Log Source is KL_Threat_Feed_Service_v2
.
Real Time
, чтобы очистить область событий.Теперь можно просматривать информацию о сервисных событиях.
Просмотр отфильтрованной информации
kl_verification_test_leef.txt
в QRadar с помощью Log Scanner, для этого выполните следующую команду:В ОС Linux: ./log_scanner -p ../verification/kl_verification_test_leef.txt
В ОС Windows: log_scanner.exe -p ..\verification\kl_verification_test_leef.txt
Если в этой команде указан флаг -r
, результаты проверки будут записаны в файл отчета Log Scanner. Если флаг -r
не указан, результаты проверки отправляются в решение SIEM с использованием настроек исходящих событий, заданных для Kaspersky CyberTrace Service.
Ожидаемые результаты, которые должны отображаться в QRadar, зависят от используемых потоков данных об угрозах. Результаты проверки работоспособности приведены в следующей таблице.
Результаты проверки работоспособности
Используемый поток данных об угрозах |
Обнаруженные объекты |
Malicious URL Data Feed |
http://fakess123.nu http://badb86360457963b90faac9ae17578ed.com |
Phishing URL Data Feed |
http://fakess123ap.nu http://e77716a952f640b42e4371759a661663.com |
Botnet C&C URL Data Feed |
http://fakess123bn.nu http://a7396d61caffe18a4cffbb3b428c9b60.com |
IP Reputation Data Feed |
192.0.2.0 192.0.2.3 |
Malicious Hash Data Feed |
FEAF2058298C1E174C2B79AFFC7CF4DF 44D88612FEA8A8F36DE82E1278ABB02F (EICAR Standard Anti-Virus Test File) C912705B4BBB14EC7E78FA8B370532C9 |
Mobile Malicious Hash Data Feed |
60300A92E1D0A55C7FDD360EE40A9DC1 |
Mobile Botnet C&C URL Data Feed |
001F6251169E6916C455495050A3FB8D (MD5 hash) http://sdfed7233dsfg93acvbhl.su/steallallsms.php (маска URL) |
Ransomware URL Data Feed |
http://fakess123r.nu http://fa7830b4811fbef1b187913665e6733c.com |
APT URL Data Feed |
http://b046f5b25458638f6705d53539c79f62.com |
APT Hash Data Feed |
7A2E65A0F70EE0615EC0CA34240CF082 |
APT IP Data Feed |
192.0.2.4 |
IoT URL Data Feed |
http://e593461621ee0f9134c632d00bf108fd.com/.i |
Demo Botnet C&C URL Data Feed |
http://5a015004f9fc05290d87e86d69c4b237.com http://fakess123bn.nu |
Demo IP Reputation Data Feed |
192.0.2.1 192.0.2.3 |
Demo Malicious Hash Data Feed |
776735A8CA96DB15B422879DA599F474 FEAF2058298C1E174C2B79AFFC7CF4DF 44D88612FEA8A8F36DE82E1278ABB02F |
ICS Hash Data Feed |
7A8F30B40C6564EFF95E678F7C43346C |
Просмотр событий из Kaspersky CyberTrace Service
Если фактические результаты проверки совпадают с ожидаемыми, интеграция Kaspersky CyberTrace Service с QRadar работает корректно.
В начало