Создание уведомлений о входящих сервисных событиях

Для создания уведомлений о входящих сервисных событиях Kaspersky CyberTrace можно настроить правила информационных сообщений.

Чтобы создать уведомления о сервисных событиях от Kaspersky CyberTrace в RSA NetWitness, выполните следующие действия:

  1. В меню RSA NetWitness выберите Monitor → Reports, затем выберите Manage → Rules.

    В RSA NetWitness версии 11.6.0 выберите пункт меню Reports.

    Окно Manage → Rules в RSA NetWitness.

    Форма Manage → Rules

  2. В разделе Groups выберите CyberTrace_Rules.

    Правила CyberTrace в RSA NetWitness.

    Правила CyberTrace

  3. В разделе Rules нажмите на кнопку Add (Кнопка «Add» в RSA NetWitness.). В раскрывающемся списке выберите NetWitness Platform DB.

    Откроется окно Build Rule.

  4. В окне Build Rule укажите следующие настройки:
    • В разделе Name укажите имя правила.

      Указываемое имя может быть любым.

    • В поле Summarize укажите значение, отличное от None, если требуется агрегировать события.
    • В поле Select укажите поля, которые содержат значения, используемые в уведомлениях.

      В сервисных событиях Kaspersky CyberTrace использует поля msg и action.

    • В поле where укажите условия уведомления. Например:

      device.type='cybertrace' && action contains 'KL_ALERT'

      Это условие содержит все сервисные события Kaspersky CyberTrace.

    • При необходимости заполните остальные поля по своему усмотрению.

    Окно «Build Rule» в RSA NetWitness.

    Окно Build Rule

  5. Нажмите на кнопку Test Rule, чтобы убедиться, что проверка указанных правил выполняется правильно.

    Окно «Test Rule» в RSA NetWitness.

    Окно Test Rule

  6. Нажмите на кнопку Save, чтобы сохранить правило.
  7. Нажмите на кнопку Use и в открывшемся окне выберите Alert, затем Select.

    Окно «Use Rule» в RSA NetWitness.

    Окно Use Rule

    Откроется окно Create/Modify Alert.

  8. В окне Create/Modify Alert укажите следующие настройки:
    • В поле Data Source выберите источник событий с событиями Kaspersky CyberTrace.
    • В поле Description укажите описание информационного сообщения.

      Указываемое описание может быть любым.

    • В поле Severity укажите уровень важности информационного сообщения.
    • В поле Notification укажите следующие настройки:
      • Способ, которым RSA NetWitness будет отправлять уведомления об информационных сообщениях.
      • Тело информационного сообщения.

    Окно «Create/Modify Alert» в RSA NetWitness.

    Окно Create/Modify Alert

  9. Нажмите Create, чтобы сохранить правило.

    Правило добавляется в список Alert на вкладке Manage → Alerts.

  10. Чтобы просмотреть все предупреждения, удовлетворяющие созданному правилу, нажмите на кнопку View Alerts (Кнопка «View Alerts» в RSA NetWitness.).
В начало