QRadar должен правильно обрабатывать входящие события от Kaspersky CyberTrace Service. Для этого необходимо добавить в QRadar список допустимых событий (список идентификаторов QRadar — QID). В Kaspersky CyberTrace Service категории событий определяются в конфигурационном файле в элементе Feeds
> Feed
> Field
, в атрибуте category
.
В состав комплекта поставки Kaspersky CyberTrace входит файл sample_qid.txt, содержащий необходимые события от Kaspersky CyberTrace Service. Описания этих событий изменять не следует, вместо этого добавьте в файл собственные события.
Рекомендуется присваивать имена категориям событий в соответствии с форматом «KL_<feed>_<object_type>»
, где:
<feed>
— имя потока данных об угрозах, обнаруживающего событие (например, PhishingUrl
.<object_type>
— поле, по которому обнаруживается событие (например, URL
, Hash_MD5
, Hash_SHA1
, Hash_SHA256
).Чтобы импортировать список QID в QRadar, выполните следующие действия:
%service_dir%/integration/qradar/sample_qid.txt
, добавив в него все категории событий, содержащиеся в конфигурационном файле.Каждая категория событий должна быть описана на отдельной строке в следующем формате:
,<event>,<descr>,<sev>,<cat_id>
где:
<event>
— имя входящего события.<descr>
— описание события.<sev>
— уровень важности события.<cat_id>
— низкоуровневый идентификатор события QRadar.Полный список идентификаторов событий QRadar вывести с помощью следующей команды:
/opt/qradar/bin/qidmap_cli.sh -l
Рекомендуется выбирать значения <sev>
и <cat_id>
в соответствии с документацией QRadar.
Например:
,KL_Malicious_URL,Malicious URL is detected by Kaspersky Threat Feed Service,8,7058
%service_dir%/integration/qradar/sample_qid.txt
на сервер, на котором установлен QRadar./opt/qradar/bin/qidmap_cli.sh -i -f <filename>
где <filename>
— путь назначения файла sample_qid.txt
, загруженного на шаге 2.
/opt/qradar/bin/qidmap_cli.sh –e
В случае возникновения ошибки см. варианты решения проблемы в Руководстве администратора IBM Security QRadar.
В начало