В этом разделе описываются требования, которым должны удовлетворять сервисы RSA NetWitness.
Проверьте, выполняются ли следующие условия:
virusname
Это и другие метаполя (кроме msg
) должны иметь уровень IndexValues
. Кроме того, для этих метаполей следует установить для defaultAction
значение Open
.
user.src
ip.src
action
msg
Это метаполе должно иметь уровень IndexKeys
(наличие метаполя в событии индексируется) или уровень IndexNone
(метаполе не индексируется) в файле index-concentrator-custom.xml. Если для этого поля задан уровень IndexValues
, это приведет к ускоренному расходованию пространства на жестком диске.
event.source
device.ip
ip.dst
url
checksum
Если какое-либо из этих полей отсутствует в файле индекса, добавьте их туда и перезапустите Concentrator, как описано в разделе об устранении неполадок RSA NetWitness.
Если Concentrator отсутствует, но для хранения данных из Kaspersky CyberTrace Service используется Log Decoder, измените файл index-logdecoder-custom.xml и перезапустите Log Decoder, как описано выше.
Если Concentrator получает данные из Log Decoder, обновлять следует только файл индекса Concentrator (index-concentrator-custom.xml). Для получения дополнительной информации см. https://community.rsa.com/docs/DOC-41760. Кроме того, обновить файл индекса Log Decoder (index-logdecoder-custom.xml) следует, если Log Decoder используется в качестве источника данных, в котором выполняется поиск событий, или если Log Decoder используется для создания отчетов или информационных панелей.
virusname
c_username
saddr
daddr
url
checksum
msg
event_source
hostip
action
Для каждого из этих метаполей атрибут flags
должен иметь значение None
.
Если какое-либо из этих полей отсутствует в файлах индекса, см. раздел об устранении неполадок RSA NetWitness.
События обнаруженных киберугроз, отправляемые Kaspersky CyberTrace Service, содержат контекст из потоков данных об угрозах в отдельных полях. Эти поля могут отображаться и использоваться в RSA NetWitness. (В RSA NetWitness имена этих полей будут иметь префикс kl.
).
Чтобы отобразить поля контекста, выполните следующие действия:
%service_dir%/integration/rsa/additional_elements/table-map-custom.xml
в файл table-map-custom.xml
Log Decoder, в который Kaspersky CyberTrace Service будет отправлять события обнаруженных киберугроз.%service_dir%/integration/rsa/additional_elements/index-concentrator-custom.xml
в файл index-concentrator-custom.xml
Concentrator, в котором будут храниться события из Kaspersky CyberTrace Service.Все настройки, описанные выше, можно задать в веб-интерфейсе RSA NetWitness на экране Services (Log Decoder and Concentrator) > Config.
После редактирования файлов table-map-custom.xml и index-concentrator-custom.xml перезапустите Log Decoder и Concentrator.
В начало