В этом разделе описывается, как ArcSight фильтрует события, пересылаемые в Kaspersky CyberTrace Service.
Фильтр, импортированный из пакета ARB
После импорта пакета ARB ArcSight содержит фильтр CyberTrace forwarding events
, используемый для фильтрации событий, которые будут пересылаться в Kaspersky CyberTrace Service.
Исходный фильтр CyberTrace forwarding events
выбирает те события, которые содержат IP-адрес в поле Destination Address
, URL в поле Request URL
или хеш в поле fileHash
, отправляемые устройством одного из следующих производителей:
Кроме того, события, попадающие в выборку, формируемую исходным фильтром CyberTrace forwarding events
, должны соответствовать одному из следующих условий:
Source Address
или Source Host Name
события не пустое, а значение поля Destination Address
— не подсети 192.168.0.0/16
, 172.16.0.0/12
или 10.0.0.0/8
.Destination Address
или Destination Host Name
события не пустое, а значение поля Source Address
— не подсети 192.168.0.0/16
, 172.16.0.0/12
или 10.0.0.0/8
.Request URL
события содержит URL.fileHash
события содержит хеш.Использование исходного фильтра CyberTrace forwarding events
может значительно снизить производительность ArcSight ESM. Чтобы снизить нагрузку на сервер ArcSight ESM, отредактируйте фильтр так, чтобы он отправлял меньше событий или выполнял меньше проверок. Например, можно удалить из фильтра тех производителей, чьи события не поступают в ArcSight, или которые не нуждаются в проверке со стороны Kaspersky CyberTrace Service.
Проверка существующего фильтра
Может потребоваться проверить, попадают ли определенные события в выборку для существующего фильтра.
Чтобы проверить, попадают ли требуемые события в выборку, формируемую существующим фильтром, выполните следующие действия:
Щелкните правой кнопкой мыши по узлу фильтра в дереве Filters и выберите пункт контекстного меню Create Channel with Filter.
Создание канала
Настройка временного интервала
Например, можно задать для отображаемых событий производителя устройства, наименование изделия или и то, и другое.
Настройка дополнительного фильтра
Изменение существующего фильтра
Существующий фильтр может потребоваться изменить. Например, если в активном канале не отображаются события от определенного производителя устройства, можно добавить производителя устройства в условие в фильтре, которое выполняет фильтрацию по производителям устройств.
Чтобы добавить производителя устройства в фильтр, выполните следующие действия:
Отобразятся условия фильтрации, вложенные в элемент дерева Event conditions.
Условия фильтрации
Просмотр информации о событиях в ArcSight
Информацию, содержащуюся в событии, можно просматривать, чтобы выбрать поля для фильтрации или для добавления к выходным событиям.
Чтобы просмотреть информацию о событиях в ArcSight,
в активном канале дважды щелкните событие, которое будет переслано в Kaspersky CyberTrace Service.
В ArcSight Console откроется вкладка Event Inspector, содержащая данные о событии.
Вкладка «Event Inspector»
Обратите внимание, что ArcSight и Kaspersky CyberTrace Service оперируют событиями в формате CEF, однако в ArcSight Console имена полей событий отображаются в удобочитаемой форме. В таблице ниже показано соответствие между некоторыми именами полей в этих двух представлениях.
Имена полей в формате CEF и в ArcSight Console
Имя поля в CEF |
Имя поля в ArcSight Console |
dst |
Destination Address |
dvc |
Device Address |
msg |
Message |
shost |
Source Host Name |