Чтобы события, отправляемые Kaspersky CyberTrace Service, поступали в QRadar, QRadar должен рассматривать Kaspersky CyberTrace Service как источник журналов. Kaspersky CyberTrace Service отправляет события в формате QRadar Log Event Extended Format (LEEF), а в качестве нового источника журналов в QRadar будет использоваться источник журналов Universal LEEF.
Чтобы добавить Kaspersky CyberTrace Service в QRadar в качестве источника журналов:
Это имя будет отображаться в графическом интерфейсе для всех событий из этого источника.
Universal LEEF
в раскрывающемся списке Log Source Type.KL_Threat_Feed_Service_v2
. Этот идентификатор используется в параметрах EventFormat и AlertFormat.Не устанавливайте флажок Coalescing Events. Если установить этот флажок, все события из Kaspersky CyberTrace Service будут объединяться в одно событие, не содержащее полезной информации.
Добавление источника журналов в QRadar
Выполните действия в том же порядке, чтобы добавить еще один источник журналов с идентификатором KL_Verification_Tool
. Он будет использоваться для тестирования взаимодействия между Kaspersky CyberTrace Service и QRadar.
После добавления двух источников журналов выберите пункт меню Admin > Deploy Changes.
В начало