В этом разделе описывается порядок настройки Kaspersky CyberTrace для взаимодействия с ArcSight во время нормальной работы.
Чтобы настроить Kaspersky CyberTrace для взаимодействия с ArcSight, выполните следующие действия:
127.0.0.1:9999
).Откроется форма Default properties.
\=
=
После внесения изменений вкладка Normalization rules должна выглядеть следующим образом:
Вкладка Normalization rules
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext%
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cn3Label=Confidence cn3=%Confidence% cs6Label=Context cs6=%RecordContext%
ArcSight и поля контекста
В потоках данных об угрозах Kaspersky Data Feed используются следующие поля контекста (actionable fields). Поля контекста можно просматривать на вкладке Settings > Feeds.
Field name |
Output |
Поле CEF |
mask |
cs1 |
deviceCustomString1 |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
threat |
cs3 |
deviceCustomString3 |
urls/url |
cs4 |
deviceCustomString4 |
whois/domain |
cs2 |
deviceCustomString2 |
Field name |
Output |
Поле CEF |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
threat |
cs3 |
deviceCustomString3 |
urls/url |
cs4 |
deviceCustomString4 |
file_size |
fsize |
file_size |
Field name |
Output |
Поле CEF |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
threat_score |
cn1 |
deviceCustomNumber1 |
domains |
cs2 |
deviceCustomString2 |
urls/url |
cs4 |
deviceCustomString4 |
files/threat |
cs3 |
deviceCustomString3 |
Field name |
Output |
Поле CEF |
mask |
cs1 |
deviceCustomString1 |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
files/threat |
cs3 |
deviceCustomString3 |
category |
cs4 |
deviceCustomString4 |
whois/domain |
cs2 |
deviceCustomString2 |
Field name |
Output |
Поле CEF |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
threat |
cs3 |
deviceCustomString3 |
file_size |
fsize |
file_size |
Field name |
Output |
Поле CEF |
mask |
cs1 |
deviceCustomString1 |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
industry |
deviceFacility |
deviceFacility |
whois/domain |
cs2 |
deviceCustomString2 |
Field name |
Output |
Поле CEF |
threat |
cs3 |
deviceCustomString3 |
Field name |
Output |
Поле CEF |
detection_date |
flexString1 |
flexString1 |
publication_name |
cs3 |
deviceCustomString3 |
Field name |
Output |
Поле CEF |
detection_date |
flexString1 |
flexString1 |
publication_name |
cs3 |
deviceCustomString3 |
Field name |
Output |
Поле CEF |
detection_date |
flexString1 |
flexString1 |
publication_name |
cs3 |
deviceCustomString3 |
Field name |
Output |
Поле CEF |
mask |
cs1 |
deviceCustomString1 |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
files/threat |
cs3 |
deviceCustomString3 |
Очистка полей ArcSight, заполненных информацией из потоков данных об угрозах Kaspersky Data Feed
Если поле CEF требуется использовать не для информации из потоков данных об угрозах Kaspersky Data Feed, а для какой-либо другой информации, такое поле необходимо очистить.
Чтобы очистить поле CEF, выполните следующие действия: