Для управления настройками форматов событий в веб-интерфейсе пользователя Kaspersky CyberTrace необходимо перейти на вкладку Settings, а затем на вкладку Events format. В зависимости от выбранного пункта в раскрывающемся списке всех доступных тенантов в левом верхнем углу окна, изменения отразятся либо на общих настройках формата событий (если выбран тенант General), либо на настройках для определенного тенанта (если выбран этот тенант настроек).
Форматы событий Kaspersky CyberTrace
На вкладке Events format можно задать форматы событий обнаружений киберугроз, оповещений о событии, контекста записей и полей контекста. Подробнее о форматах и шаблонах событий.
Изменять формат событий вручную не рекомендуется. Установите флажки для шаблонов, которые требуется использовать в исходящих событиях, после чего Kaspersky CyberTrace автоматически обновит формат.
Некоторые источники событий могут потребовать изменения формата событий в зависимости от используемой интеграции (см. подраздел «Настройка форматов событий для определенных источников событий» ниже).
На этой вкладке имеются следующие поля ввода:
Этот раздел состоит из двух подразделов:
Значения этих полей представляют собой шаблоны, сгенерированные Kaspersky CyberTrace.
Установите флажки для шаблонов, которые требуется использовать в исходящих событиях обнаружений киберугроз. Kaspersky CyberTrace обновит формат автоматически.
Значения этих полей извлекаются из входящих событий с помощью регулярных выражений, определенных для данного источника событий.
Установите флажки для шаблонов, которые требуется использовать в исходящих событиях обнаружений киберугроз. Kaspersky CyberTrace обновит формат автоматически.
Настройка форматов событий для определенных SIEM-решений
Правильный формат оповещений о событиях и событий обнаружений киберугроз зависит от используемого SIEM-решения. В случае изменения формата событий в Kaspersky CyberTrace также может потребоваться перенастроить интеграцию с решением SIEM.
Для ArcSight:
Для QRadar:
Для RSA NetWitness:
Для LogRhythm: