Шаг 4 (необязательный). Импорт правил Kaspersky CyberTrace Service в RSA NetWitness

В комплект поставки Kaspersky CyberTrace входит файл CyberTrace_Rules.zip в каталоге integration/rsa/additional_elements. Этот файл содержит набор правил, которые можно использовать для создания отчетов, информационных сообщений и информационных панелей.

Чтобы импортировать правила Kaspersky CyberTrace Service в RSA NetWitness, выполните следующие действия:

  1. В меню RSA NetWitness выберите Reports.

    В RSA NetWitness 11 вместо этого необходимо выбрать MonitorReports.

  2. Нажмите на кнопку Settings (Кнопка «Settings» в RSA NetWitness.) и выберите Import.

    Разделенная кнопка Settings (шестеренка) → пункт меню Import в RSA NetWitness.

    Импорт правил

  3. Выберите файл CyberTrace_Rules.zip.
  4. В окне Import Rule установите флажок Rule и флажок List.

    Если файл CyberTrace_Rules.zip импортируется впервые, эти флажки можно оставить снятыми.

  5. Нажмите на кнопку Import.

    Окно Import Rule в RSA NetWitness.

    Импорт правил Kaspersky CyberTrace Service

Правила, импортируемые в RSA NetWitness, перечислены в таблице ниже.

Правило

Описание

CyberTrace Detect Botnet

Выбирает оповещения об обнаружении индикаторов компрометации из сервиса Kaspersky CyberTrace, имеющие категорию Botnet.

Выбираются следующие поля:

  • url
  • checksum
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Malware Hash

Выбирает оповещения об обнаружении хешей из сервиса Kaspersky CyberTrace.

Выбираются следующие поля:

  • virusname
  • checksum
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Malware IP

Выбирает оповещения об обнаружении IP-адресов из сервиса Kaspersky CyberTrace.

Выбираются следующие поля:

  • virusname
  • ip.dst
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Malware URL

Выбирает оповещения об обнаружении URL из сервиса Kaspersky CyberTrace.

Выбираются следующие поля:

  • virusname
  • url
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Stat

Выбирает все категории, используемые в процессе обнаружения киберугроз.

Выбираются следующие поля:

  • virusname

CyberTrace Service events

Выбирает служебные оповещения из сервиса Kaspersky CyberTrace.

Выбираются следующие поля:

  • action
  • msg

CyberTrace Top 10 IP

Выбирает топ-10 обнаруженных IP-адресов.

Выбираются следующие поля:

  • kl.detected

CyberTrace Top 10 URL

Выбирает топ-10 обнаруженных URL.

Выбираются следующие поля:

  • url

CyberTrace Top 10 Hash

Выбирает топ-10 обнаруженных хешей.

Выбираются следующие поля:

  • checksum

CyberTrace Detected users

Вычисляет количество оповещений об обнаружении индикаторов компрометации на одного пользователя.

В начало