В этом разделе описывается порядок настройки Kaspersky CyberTrace для интеграции с FortiSIEM.
Чтобы настроить Kaspersky CyberTrace для интеграции с FortiSIEM, выполните следующие действия:
/opt/kaspersky/ktfs
.%CyberTrace_installDir%
./opt/kaspersky/ktfs/etc
.%CyberTrace_installDir%\bin
.Вы также можете настроить Kaspersky CyberTrace и задать параметры, описанные в этом разделе, с помощью веб-интерфейса Kaspersky CyberTrace.
Configuration > InputSettings > ConnectionString
содержит IP-адрес сервера, на котором будет выполняться Kaspersky CyberTrace, и незанятый порт (например, 9999
). IP-адрес и порт должны быть указаны в формате %IP_address%:%port%
(например, 10.43.11.15:9999
).Configuration > InputSetting > RegExps > Source id="default"
:<Device type="CONTEXT">[^\|]*\|([^\|]*\|[^\|]*)\|</Device> <DeviceIp type="CONTEXT" concatenate="#1">dvc\=(\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})(?:$|\s|\,)</DeviceIp> <UserName type="CONTEXT">user\=(.*?)(?:$|\s|\,)</UserName> <DeviceAction type="CONTEXT">act=(.*?)(?:$|\s|\,)</DeviceAction> |
Configuration > OutputSettings > AlertFormat
укажите следующее значение:<![CDATA[Kaspersky Lab|Kaspersky CyberTrace|1.0|1|4|alert=%Alert%;msg=%RecordContext%]]> |
Если вы используете веб-интерфейс Kaspersky CyberTrace для указания этого значения, опустите <![CDATA[
в начале и ]]>
в конце значения.
Configuration > OutputSettings > EventFormat
укажите следующее значение:<![CDATA[Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=%Category%;detected=%MatchedIndicator%;act=%DeviceAction%;dst=%RE_IP%;src=%SRC_IP%;md5=%RE_MD5%;sha1=%RE_SHA1%;sha2=%RE_SHA256%;request=%RE_URL%;dvc=%DeviceIp%;sourceServiceName=%Device%;suser=%UserName%;msg=%RecordContext%]]> |
Если вы используете веб-интерфейс Kaspersky CyberTrace для указания этого значения, опустите <![CDATA[
в начале и ]]>
в конце значения.
Configuration > OutputSettings > ConnectionString
укажите IP-адрес экземпляра FortiSIEM, которому Kaspersky CyberTrace будет отправлять события обнаружения, и порт 514
.Укажите IP-адрес и порт в формате %IP_address%:%port%
(например, 10.43.11.43:514
).
Configuration > NormalizingRules
укажите следующее правило:<Replace input="<" output=" <" />
Вы также можете создать это правило с помощью веб-интерфейса Kaspersky CyberTrace следующим образом:
Правило нормализации для событий FortiSIEM
/opt/kaspersky/ktfs/etc/init.d/kl_feed_service restart
(в Linux)%CyberTrace_installDir%\bin\kl_control.bat restart
(в Windows)Просмотр формата пересылаемых событий в FortiSIEM
В описанной выше процедуре предполагается, что для извлечения IP-адресов, URL-адресов и хешей из событий, отправленных из FortiSIEM, используются универсальные регулярные выражения. Возможно, вам придется изменить эти и другие регулярные выражения в зависимости от формата событий. Например, это может потребоваться для извлечения из события имени пользователя или других данных, которые позже будут вставлены в событие обнаружения и отправлены в FortiSIEM. Перед редактированием существующих регулярных выражений или добавлением новых вам необходимо проанализировать исходные события, поступившие в Kaspersky CyberTrace.
Вы также можете просматривать эти события в веб-интерфейсе Kaspersky CyberTrace. После настройки пересылки событий в FortiSIEM выберите в веб-интерфейсе Kaspersky CyberTrace вкладку Settings → Matching, после чего в разделе Event parsing rules будут отображаться события, поступающие в Kaspersky CyberTrace.
Чтобы просмотреть формат событий в FortiSIEM, выполните следующие действия:
Выбор событий FortiSIEM
Появится форма Filters, в которой можно задать фильтр и временной диапазон для событий.
Например, можно указать IP-адрес устройства, с которого приходят события в FortiSIEM (атрибут Reporting IP
). Также в группе настроек Time можно задать временной диапазон для событий (например, последние 10 минут) или указать, что события должны отображаться в режиме реального времени.
Настройка фильтра для событий FortiSIEM
Столбец Raw Event Log содержит события в том же формате, в котором они пересылаются из FortiSIEM в Kaspersky CyberTrace.
Отображаемые события FortiSIEM
Дополнительную информацию о запрашивании событий на вкладке Analytics см. на странице http://help.fortinet.com/fsiem/5-1-1/Online-Help/HTML5_Help/Viewing_real_time_search_results.htm.
В начало