В этом разделе описывается порядок настройки Kaspersky CyberTrace для интеграции с McAfee ESM.
Чтобы настроить Kaspersky CyberTrace для интеграции с McAfee ESM, выполните следующие действия:
В случае McAfee ESM это порт 514.
Нажмите на кнопку Next.
Регулярные выражения для интеграции с McAfee ESM
Тип индикатора |
Имя правила |
Регулярное выражение |
Дополнительные параметры |
---|---|---|---|
CONTEXT |
Device |
deviceExternalId\=(.*?)\s |
|
CONTEXT |
DeviceAction |
act\=(.*?)\s |
|
CONTEXT |
DeviceIp |
deviceTranslatedAddress\=(.*?)\s |
|
HASH |
RE_HASH |
([\da-fA-F]{32,64}) |
Extract all: True |
IP |
RE_IP |
dst\=(.*?)\s |
|
URL |
RE_URL |
(?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]{2,}+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+) |
Extract all: True |
IP |
SRC_IP |
src\=(.*?)\s |
|
CONTEXT |
UserName |
duser\=(.*?)\s |
|
Правило замены для интеграции с McAfee ESM
Формат событий для интеграции с McAfee ESM
Поле |
Значение |
---|---|
Формат оповещений о событиях |
|
Формат событий обнаружения |
|
Формат контекста записей |
Обратите внимание на пробел перед |
Формат полей контекста |
Обратите внимание на пробел перед |
Сохраните изменения.