Шаг 5. Получение свойств пользовательского события

В этом разделе описывается порядок настройки извлечения из исходящих событий Kaspersky CyberTrace пользовательских свойств событий в дополнение к стандартным полям. В результате настройки выполняется извлечение хешей MD5, SHA1 и SHA256, а правило извлечения «Source IP» переопределяется.

Чтобы настроить получение пользовательских свойств события, выполните следующие действия:

  1. Выберите вкладку Log Activity и нажмите на кнопку Add Filter.

    Откроется форма Add Filter.

  2. Заполните эту форму:
    1. В раскрывающемся списке Parameter выберите Log Source [Indexed].
    2. В раскрывающемся списке Operator выберите Equals.
    3. В списке Log Source выберите KL_Threat_Feed_Service_v2.

      Вариант выбора KL_Threat_Feed_Service_v2 соответствует имени источника журналов, заданному в элементе OutputSettings > EventFormat и в элементе OutputSettings > AlertFormat конфигурационного файла Kaspersky CyberTrace Service (их также можно задать с помощью веб-интерфейса Kaspersky CyberTrace).

    Окно Add Filter в QRadar.

    Добавление фильтра

  3. Нажмите на кнопку Add Filter.
  4. Запустите проверку работоспособности, затем остановите поток событий, нажав кнопку Pause (Значок Pause в QRadar.) в правом верхнем углу окна.
  5. Выберите несколько записей, удерживая клавишу Ctrl (или Shift), затем выберите Actions → DSM editor.

    Пункт меню DSM Editor в QRadar.

    Окно Log Activity

    Откроется окно DSM Editor.

    Окно DSM Editor.

    Окно DSM Editor

  6. В окне DSM Editor нажмите кнопку + рядом с полем ввода Filters.

    Откроется форма Choose a Custom Property Definition to Express.

    В QRadar выберите окно Custom Property Definition to Express.

    Выбор пользовательского свойства

  7. Нажмите на кнопку Create new.

    Откроется форма Create a new Custom Property Definition.

  8. Заполните эту форму:
    1. В поле Name введите MD5.
    2. В раскрывающемся списке Field Type выберите Text.
    3. В поле Description введите описание свойства.
    4. Установите флажок Enable this Property for Use in Rules and Search Indexing.
    5. Нажмите на кнопку Save.

    Окно Creating a new Custom Property Definition в QRadar.

    Создание нового определения пользовательского свойства

  9. Аналогичным образом добавьте свойства SHA1 и SHA256.
  10. В окне Choose a Custom Property Definition to Express выберите созданные свойства, добавьте «URL» и «Source IP», затем нажмите кнопку Select.
  11. В разделе Log Activity Preview нажмите Configure и выберите следующие свойства:
    • Event Name
    • IP (custom)
    • MD5 (custom)
    • SHA1 (custom)
    • SHA256 (custom)
    • Source IP
    • URL (custom)
    • Username

    Нажмите на кнопку Update.

    Окно Configuring Preview Columns в QRadar.

    Настройка столбцов предварительного просмотра

  12. На вкладке Properties настройте регулярные выражения, как описано в таблице ниже:

    Пользовательское свойство

    Регулярное выражение

    MD5

    md5=([\da-fA-F]{32})

    SHA1

    sha1=([\da-fA-F]{40})

    SHA256

    sha256=([\da-fA-F]{64})

    URL

    url=([-a-zA-Z0-9()@:%_\+.~#?&\/\/=]{2,})

    Source IP

    src=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

    Если необходимо, введите 1 в поле Capture Group.

  13. Для свойства Source IP установите флажок Override system behavior.

    Настройка свойства Source IP в QRadar. Флажок Override system behavior.

    Настройка «Source IP»

    При изменении формата исходящих событий обнаруженных киберугроз в Kaspersky CyberTrace указанные выше регулярные выражения могут потребовать соответствующих изменений.

    Если все вышеперечисленные настройки заданы правильно, настроенные пользовательские свойства отображаются в разделе Log Activity Preview.

  14. Нажмите кнопку Save и закройте окно.
  15. На вкладке Log Activity выполните новую проверку работоспособности.

    После этого при открытии события, полученного от KL_Threat_Feed_Service_v2, будут отображаться настроенные пользовательские свойства.

    Раздел Event Information в QRadar.

    Информация о событии

В начало