После импорта пакета ARB в ArcSight становятся доступны следующие информационные панели:
Отображаются все устройства, которые отправляли события, содержащие вредоносные URL, IP-адреса или хеши. На карте отображаются все потоки данных об угрозах, задействованные в процессе обнаружения киберугроз.
Статистика обнаружений киберугроз: сколько раз определенный поток данных об угрозах был задействован в процессе обнаружения. Если поток данных об угрозах не был задействован в процессе обнаружения киберугроз, он не отображается на информационной панели.
Информационная панель Matching statistics
Содержит три диаграммы:
Топ-10 обнаруженных IP-адресов.
Топ-10 обнаруженных URL.
Топ-10 обнаруженных хешей.
На информационных панелях отображаются данные, собранные за последние 48 часов.
Чтобы включить отключенную информационную панель, необходимо нажать на кнопку Enable Data Monitor () и в раскрывающемся списке выбрать Enable Data Monitor.
Кнопка Enable Data Monitor
Включение информационной панели в версиях 6.8 и 6.11
Приведенные выше инструкции относятся к ArcSight ESM версий 6.8 и 6.11. Чтобы начать использовать информационную панель в ArcSight ESM версии 7.0, выберите Dashboards, затем вкладку Data Monitors. В дереве консоли выберите Data Monitors > Shared > All Data Monitors > Public.
Включение информационной панели в ArcSight ESM версии 7.0
Щелкните правой кнопкой мыши Kaspersky CyberTrace Connector и выберите пункт Edit Data Monitor. На вкладке Attributes укажите 300
в качестве значения параметра Bucket size in Seconds и 288
в качестве значения параметра Number of Buckets.
Редактирование Data Monitor
После выполнения этих действий на информационной панели отображаются данные за последние 24 часа. Выполните те же действия для всех мониторов, кроме CyberTrace Detection map.
В начало