В этом разделе описывается порядок добавления событий Kaspersky CyberTrace в LogRhythm вручную.
Пропустите этот шаг, если импорт правил и событий Kaspersky CyberTrace выполнен успешно.
Чтобы добавить события Kaspersky CyberTrace в LogRhythm, выполните следующие действия:
Пункт меню Common Event Manager
Откроется окно Common Event Manager.
«Security : Compromise»
Событие |
Описание |
KL_APT_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании. |
KL_APT_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании. |
KL_APT_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании. |
KL_APT_IP |
Kaspersky CyberTrace обнаруживает IP-адрес, используемый в APT-кампании. |
KL_APT_URL |
Kaspersky CyberTrace обнаруживает URL, используемый в APT-кампании. |
KL_BotnetCnC_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш ботнета. |
KL_BotnetCnC_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш ботнета. |
KL_BotnetCnC_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш ботнета. |
KL_BotnetCnC_URL |
Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) ботнета. |
KL_ICS_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш ICS. |
KL_ICS_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш ICS. |
KL_ICS_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш ICS. |
KL_InternalTI_URL |
URL списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_IP |
IP-адрес списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_Hash_MD5 |
Хеш списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_Hash_SHA1 |
Хеш списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_Hash_SHA256 |
Хеш списка InternalTI Kaspersky CyberTrace. |
KL_IoT_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш IoT. |
KL_IoT_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш IoT. |
KL_IoT_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш IoT. |
KL_IoT_URL |
Kaspersky CyberTrace обнаруживает URL, заражающий устройства с поддержкой интернета вещей (IoT). |
KL_IP_Reputation |
Kaspersky CyberTrace обнаруживает вредоносный IP-адрес. |
KL_IP_Reputation_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе. |
KL_IP_Reputation_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе. |
KL_IP_Reputation_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе. |
KL_Malicious_URL |
Kaspersky CyberTrace обнаруживает вредоносный URL. |
KL_Malicious_URL_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL. |
KL_Malicious_URL_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL. |
KL_Malicious_URL_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL. |
KL_Malicious_Hash_MD5 |
Kaspersky CyberTrace обнаруживает вредоносный хеш. |
KL_Malicious_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает вредоносный хеш. |
KL_Malicious_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает вредоносный хеш. |
KL_Mobile_Malicious_Hash_MD5 |
Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш. |
KL_Mobile_Malicious_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш. |
KL_Mobile_Malicious_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш. |
KL_Mobile_BotnetCnC_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета. |
KL_Mobile_BotnetCnC_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета. |
KL_Mobile_BotnetCnC_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета. |
KL_Mobile_BotnetCnC_URL |
Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) мобильного ботнета. |
KL_Phishing_URL |
Kaspersky CyberTrace обнаруживает фишинговый URL. |
KL_Ransomware_URL |
Kaspersky CyberTrace обнаруживает URL, на котором размещена программа-вымогатель. |
KL_Ransomware_URL_Hash_MD5 |
Kaspersky CyberTrace обнаруживает хеш программы-вымогателя. |
KL_Ransomware_URL_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш программы-вымогателя. |
KL_Ransomware_URL_Hash_SHA256 |
Kaspersky CyberTrace обнаруживает хеш программы-вымогателя. |
AbuseCh_Feodo_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Feodo_Block_IP. |
AbuseCh_Ransomware_Block_URL |
Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Block_URL. |
AbuseCh_Ransomware_Block_Domain |
Kaspersky CyberTrace обнаруживает домен из потока данных об угрозах Abuse.Ch_Ransomware_Block_Domain. |
AbuseCh_Ransomware_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Ransomware_Block_IP. |
AbuseCh_Ransomware_Common_URL |
Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Common_URL. |
AbuseCh_SSL_Certificate_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах AbuseCh_SSL_Certificate_Block_IP. |
AbuseCh_SSL_Certificate_Hash_SHA1 |
Kaspersky CyberTrace обнаруживает хеш из потока данных об угрозах AbuseCh_SSL_Certificate_Hash_SHA1. |
BlocklistDe_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах BlocklistDe_Block_IP. |
CyberCrime_Tracker_Block_Url |
Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах CyberCrime_Tracker_Block_Url. |
EmergingThreats_Block_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Block_IP. |
EmergingThreats_Compromised_IP |
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Compromised_IP. |
Событие |
Описание |
Классификация |
KL_ALERT_ConfigurationUpdated |
Это оповещение генерируется, если Kaspersky CyberTrace Service перезагрузил конфигурационный файл. |
Audit : Configuration |
KL_ALERT_FeedBecameAvailable |
Это оповещение генерируется, если стал доступен поток данных об угрозах, который можно использовать с текущим сертификатом. |
Audit : Other Audit Success |
KL_ALERT_FeedBecameUnavailable |
Это оповещение генерируется, если стал недоступен поток данных об угрозах, который используется с текущим сертификатом. |
Audit : Other Audit Failure |
KL_ALERT_OutdatedFeed |
Это оповещение генерируется, если поток данных об угрозах не обновлялся в течение заданного периода. |
Audit : Other Audit Failure |
KL_ALERT_ServiceUnavailable |
Это событие генерируется при аварийном завершении или зависании Kaspersky CyberTrace Service. |
Audit : Other Audit Failure |
KL_ALERT_ServiceStopped |
Это оповещение генерируется при успешной остановке Kaspersky CyberTrace Service. |
Audit : Startup and Shutdown |
KL_ALERT_ServiceStarted |
Это оповещение генерируется при успешном запуске Kaspersky CyberTrace Service. |
Audit : Startup and Shutdown |
KL_ALERT_UpdatedFeed |
Это оповещение генерируется при обновлении и загрузке потока данных об угрозах в Kaspersky CyberTrace Service. |
Audit : Other Audit Success |
KL_ALERT_FailedToUpdateFeed |
Это событие генерируется, когда Kaspersky CyberTrace Service не удается загрузить новый поток данных об угрозах (например, из-за ограничения на количества индикаторов, налагаемого лицензионным ключом), и продолжается использование старого потока данных об угрозах. |
Audit : Other Audit Failure |
KL_ALERT_LicenseExpires |
Это оповещение генерируется для информирования о том, что используемый лицензионный ключ истечет менее чем через 30 дней. |
Audit : Policy |
KL_ALERT_LicenseExpired |
Это событие генерируется, когда истекает срок действия лицензионного ключа. |
Audit : Policy |
KL_ALERT_EPSLimitExceeded |
Это оповещение генерируется, когда оказывается превышен лимит на количество обрабатываемых событий в секунду (EPS), установленный лицензионным ключом или уровнем лицензирования. |
Audit : Policy |
KL_ALERT_EPSHardLimit |
Это событие генерируется, когда Kaspersky CyberTrace Service ограничивает количество обрабатываемых событий в секунду (EPS) до максимального количества событий для текущего лицензионного ключа или уровня лицензирования. Это ограничение действует независимо от количества входящих событий. |
Audit : Policy |
KL_ALERT_LicenseChanged |
Это оповещение генерируется, когда Kaspersky CyberTrace начинает использовать другой лицензионный ключ или другой уровень лицензирования. |
Audit : Configuration |
KL_ALERT_RetroScanError |
Это оповещение генерируется при отказе задачи ретроспективного сканирования. |
Audit : Other Audit Failure |
KL_ALERT_RetroScanCompleted |
Это оповещение генерируется при успешном выполнении задачи ретроспективного сканирования. |
Audit : Other Audit Success |
KL_ALERT_RetroScanStorageExceeded |
Это оповещение генерируется при превышении ограничения на размер сохраняемых событий. |
Audit : Policy |
KL_ALERT_IndicatorsStoreLimitExceeded |
Это оповещение генерируется при превышении ограничения на размер сохраняемых индикаторов. |
Audit : Policy |
KL_ALERT_IndicatorsStoreHardLimit |
Это событие генерируется, когда Kaspersky CyberTrace ограничивает добавление и обновление индикаторов. |
Audit : Policy |
KL_ALERT_FreeSpaceEnds |
Это оповещение генерируется, когда на диске остается мало свободного места. |
Audit : Policy |
Оповещения о событиях могут содержать поля контекста, как описано в разделе об оповещениях о событиях Kaspersky CyberTrace.
Окно Common Event Properties
После добавления событий окно Common Event Manager должно содержать события, как показано на рисунке ниже.
Добавленные события
В начало