Для создания уведомлений о проблемах с Kaspersky CyberTrace можно настроить правила информационных сообщений.
Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в QRadar, выполните следующие действия:
Страница Rules
Откроется страница Rule Wizard.
Окно Rules Wizard
when the event(s) were detected by one or more of these log sources
when the event matches this search filter
and
.when the event(s) were detected by one or more of these log sources
задайте источник журналов (Log Source) KL_Threat_Feed_Service_v2
. Если этот источник событий отсутствует, добавьте Kaspersky CyberTrace Service в качестве источника журналов.when the event matches this search filter
задайте фильтр для сравнения имени события (Event Name) со значением имени источника событий, для этого выполните следующие действия: Добавление фильтров
Если необходимое событие отсутствует, добавьте его в список идентификаторов QRadar Identifier (QID).
Окно Rule Editor
Страница Rule Editor
Страница Rule Summary
Правило добавляется в список Rules.
Список Rules
Добавленное правило генерирует уведомление о входящем сервисном событии. Для просмотра этих уведомлений можно нажать на раскрывающийся список Messages. Кроме того, уведомления отображаются в QRadar Console в виде всплывающих уведомлений.
Раскрывающийся список Messages
Настроить отображение уведомлений можно на вкладке Dashboard.
Системные уведомления на вкладке Dashboard
Чтобы настроить отображение уведомлений на вкладке Dashboard, выполните следующие действия:
Добавление системных уведомлений на вкладку Dashboard