В этом разделе описано, как выполнять парсинг событий службы Kaspersky CyberTrace, имеющих следующий формат:
Kaspersky CyberTrace Service Event| date=%Date% alert=%Alert% msg:%RecordContext%
Обратите внимание, что при изменении формата событий службы необходимо изменить правила парсинга событий службы в McAfee Enterprise Security Manager.
Для парсинга события службы введите следующие данные в диалоговом окне Advanced Syslog Parser Rule:
Добавление источника данных
Откроется диалоговое окно Add Data Source.
McAfee Enterprise Security Manager получает все события из Kaspersky CyberTrace. Если McAfee Enterprise Security Manager не может выполнить парсинг события, оно отображается как неизвестное.
Конфигурация источника данных
McAfee ESM предложит развернуть установленную политику.
Диалоговое окно развертывания
Выбор в Policy Editor
Окно Policy Editor
Kaspersky_CyberTrace_ServiceEvent
Kaspersky CyberTrace Service Event| date=Apr 17 19:08:28 alert=KL_ALERT_UpdatedFeed msg:feed=Demo_Botnet_CnC_URL_Data_Feed.json records=3907
Имя |
Регулярное выражение |
---|---|
|
|
|
|
|
|
Вкладка Parsing
Поле |
Выражение |
---|---|
Action |
|
Описание |
Перетащите |
Severity |
|
Return_Code |
Перетащите |
First Time |
Перетащите |
Вкладка Field Assignment
Вы можете добавить другие поля, нажав на кнопку +.
Формат времени |
Поля времени |
---|---|
|
|
Ключ действия |
Значение действия |
---|---|
|
|
Ключ важности |
Значение важности |
---|---|
|
|
Вкладка Mapping
Kaspersky CyberTrace
, а затем включите правило Kaspersky_CyberTrace_ServiceEvent
. Включение правила
Развертывание политики
Kaspersky CyberTrace
в McAfee ESM.Field 2
задайте значение Return_Code
и нажмите кнопку OK. Modify Aggregation Settings