В этом разделе описывается порядок настройки извлечения из исходящих событий Kaspersky CyberTrace пользовательских свойств событий в дополнение к стандартным полям. В результате настройки выполняется извлечение хешей MD5, SHA1 и SHA256, а правило извлечения «Source IP» переопределяется.
Чтобы настроить получение пользовательских свойств события, выполните следующие действия:
Откроется форма Add Filter.
Log Source [Indexed]
.Equals
.KL_Threat_Feed_Service_v2
.Вариант выбора KL_Threat_Feed_Service_v2
соответствует имени источника журналов, заданному в элементе OutputSettings > EventFormat
и в элементе OutputSettings > AlertFormat
конфигурационного файла Kaspersky CyberTrace Service (их также можно задать с помощью веб-интерфейса Kaspersky CyberTrace).
Добавление фильтра
Окно Log Activity
Откроется окно DSM Editor.
Окно DSM Editor
Откроется форма Choose a Custom Property Definition to Express.
Выбор пользовательского свойства
Откроется форма Create a new Custom Property Definition.
MD5
.Text
.Создание нового определения пользовательского свойства
SHA1
и SHA256
.Event Name
IP (custom)
MD5 (custom)
SHA1 (custom)
SHA256 (custom)
Source IP
URL (custom)
Username
Нажмите на кнопку Update.
Настройка столбцов предварительного просмотра
Пользовательское свойство |
Регулярное выражение |
MD5 |
|
SHA1 |
|
SHA256 |
|
URL |
|
Source IP |
|
Если необходимо, введите 1
в поле Capture Group.
Настройка «Source IP»
При изменении формата исходящих событий обнаруженных киберугроз в Kaspersky CyberTrace указанные выше регулярные выражения могут потребовать соответствующих изменений.
Если все вышеперечисленные настройки заданы правильно, настроенные пользовательские свойства отображаются в разделе Log Activity Preview.
После этого при открытии события, полученного от KL_Threat_Feed_Service_v2
, будут отображаться настроенные пользовательские свойства.
Информация о событии