Шаг 2. Отправка событий из Kaspersky CyberTrace Service в RSA NetWitness

В этом разделе описываются действия, которые необходимо совершить для настройки пересылки событий из Kaspersky CyberTrace Service в RSA NetWitness.

Обратите внимание, что Kaspersky CyberTrace Service отправляет события в сервис Log Decoder.

Чтобы события из Kaspersky CyberTrace Service отправлялись в RSA NetWitness, выполните следующие действия:

  1. В веб-интерфейсе Kaspersky CyberTrace на вкладке Settings > Service укажите следующее значение в поле ввода Service sends events to:

    [IP]:514

    Здесь [IP] — это IP-адрес сервиса Log Decoder, в который Kaspersky CyberTrace Service будет отправлять события.

    Если имеется несколько сервисов Log Decoder, интеграцию следует выполнять только с одним из сервисов Log Decoder.

  2. В каталоге /etc/netwitness/ng/envision/etc/devices сервера, на котором работает Log Decoder, создайте подкаталог cybertrace и скопируйте в этот подкаталог следующие файлы из каталога %service_dir%/integration/rsa/cybertrace:
    • cybertrace.ini

      Этот конфигурационный файл содержит декларацию Kaspersky CyberTrace Service для RSA NetWitness.

    • v20_cybertracemsg.xml

      Этот конфигурационный файл содержит правила парсинга событий, отправляемых из Kaspersky CyberTrace Service в RSA NetWitness. Описание содержимого приведено далее в этом разделе.

    Эти файлы расположены в каталоге integration/rsa/cybertrace в комплекте поставки.

  3. Перезапустите Log Decoder.

    Для этого на экране Services для выбранного Log Decoder нажмите на кнопку Settings (Кнопка «Settings» в RSA NetWitness.) и в раскрывающемся списке выберите Restart.

  4. Убедитесь, что в RSA NetWitness включен парсер сервиса cybertrace.

    Это можно сделать следующим образом:

    1. В меню RSA NetWitness выберите Значок администратора RSA NetWitness. (Admin) > System.
    2. В таблице Services выберите Log Decoder и в меню Actions выберите View > Config.
    3. На панели Service Parsers Configuration найдите cybertrace и убедитесь, что в этой строке выбрано поле Config Value.

    Окно Service Parsers Configuration в RSA NetWitness.

    Таблица «Service Parsers Configuration»

  5. Перезапустите Kaspersky CyberTrace Service.

    Для перезапуска Kaspersky CyberTrace Service можно выполнить скрипт kl_feed_service:

    systemctl restart cybertrace.service

    Это также можно сделать и в веб-интерфейсе Kaspersky CyberTrace.

Содержимое файлов интеграции

Файл v20_cybertracemsg.xml содержит следующее правило для парсинга сервисных событий из Kaspersky CyberTrace Service:

alert=<action>,context=<msg>

Файл v20_cybertracemsg.xml содержит несколько правил для парсинга событий обнаруженных киберугроз из Kaspersky CyberTrace Service:

Поля файлов cybertrace.ini и v20_cybertracemsg.xml соответствуют следующему формату сервисных событий и событий обнаруженных киберугроз из Kaspersky CyberTrace Service:

<AlertFormat><![CDATA[<232>%CyberTrace:ALERT_EVENT alert=%Alert%,context=%RecordContext%]]></AlertFormat>

<EventFormat><![CDATA[<232>%CyberTrace:MATCH_EVENT category=%Category%,detected=%MatchedIndicator%,url=%RE_URL%,hash=%RE_HASH%,dst=%DST_IP%,src=%SRC_IP%,dvc=%DeviceIp%,dev_name=%Device%,dev_action=%DeviceAction%,user=%UserName%,cnf=%Confidence%,actF:%ActionableFields%,context=%RecordContext%]]> </EventFormat>

В файле v20_cybertracemsg.xml формат событий из Kaspersky CyberTrace Service задается в элементе HEADER/content и в элементе MESSAGE/content. Убедитесь, что в файлах индекса Log Decoder и Concentrator присутствуют следующие поля: virusname, url, checksum, ip.src, ip.dst. Другие поля (кроме virusname, url, checksum, ip.src, ip.dst в элементе MESSAGE/content ) можно как использовать, так и не использовать в файлах индекса Log Decoder и Concentrator. Также убедитесь, что в файле table-map-custom.xml для каждого из этих полей для атрибута flags задано значение None. Если какое-либо из этих условий не выполняется, см. раздел об устранении неполадок RSA NetWitness.

В следующих таблицах описаны поля, используемые в файлах v20_cybertracemsg.xml и kl_feed_service.conf, и описано соответствие полей в одном файле полям в другом файле. Если какое-либо новое поле требуется постоянно использовать в событиях обнаруженных киберугроз, обратитесь к своему персональному техническому менеджеру (ПТМ).

В следующих таблицах описаны поля контекста (actionable fields), используемые в потоках данных об угрозах и в файле v20_cybertracemsg.xml, а также соответствие полей в потоке данных об угроза полям в файле:

В начало