В этом разделе описано, как выполнять парсинг событий обнаружения Kaspersky CyberTrace, имеющих следующий формат:
Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%
Обратите внимание, что, если вы меняете формат событий обнаружения Kaspersky CyberTrace, вам необходимо изменить правила парсера Kaspersky CyberTrace в McAfee Enterprise Security Manager.
Для парсинга события обнаружения введите следующие данные в диалоговом окне Advanced Syslog Parser Rule:
Kaspersky_CyberTrace_DetectionEvent
Kaspersky CyberTrace Detection Event| date=Oct 12 16:13:23 reason=KL_BotnetCnC_URL detected=http://fakess123bn.nu act=REQUEST_URL dst=192.168.1.0 src=192.168.2.0 hash=776735A8CA96DB15B422879DA599F474 request=http://fakess123bn.nu dvc=192.168.3.0 sourceServiceName=FireWall suser=UserName msg:popularity=5 geo=vn, in, mx threat=Trojan.Win32.Waldek
Имя |
Регулярное выражение |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Поле |
Выражение |
---|---|
Action |
|
First Time |
Перетащите |
URL |
Перетащите |
Destination IP |
Перетащите |
Device_Action |
Перетащите |
Hash |
Перетащите |
Host |
Перетащите |
Message_Text |
Перетащите |
Object |
Перетащите |
Return_Code |
Перетащите |
Service_Name |
Перетащите |
Severity |
|
Source IP |
Перетащите |
Source User |
Перетащите |
McAfee ESM переименовывает поле Object
в ObjectID
.
Формат времени |
Поля времени |
---|---|
|
|
Ключ действия |
Значение действия |
---|---|
|
|
Ключ важности |
Значение важности |
---|---|
|
|
Указав приведенные выше значения, выполните следующие действия:
Kaspersky CyberTrace
, а затем включите правило Kaspersky_CyberTrace_DetectionEvent
.Kaspersky CyberTrace
.Откроется диалоговое окно Modify Aggregation Settings.
Field 2
значение Object
.Field 3
значение Return_Code
.