Форматы и шаблоны позволяют включать определенную информацию в сообщения, генерируемые Kaspersky CyberTrace.
Форматы — это строки, определяющие формат сообщения или шаблона. Шаблоны — это специальные подстановочные строки, которые можно использовать при определении форматов. При генерации сообщения шаблон заменяется фактическими данными.
О сообщениях обнаружения киберугроз и служебных оповещениях
Форматы можно задать для двух типов сообщений, генерируемых Kaspersky CyberTrace:
Это исходящие сообщения, содержащие информацию об обнаруженных совпадениях с индикаторами.
Более подробные сведения о формате сообщений об обнаруженных киберугрозах приведены ниже в подразделе «Формат сообщений об обнаружении киберугроз».
Это исходящие сообщения, информирующие целевое программное обеспечение (например SIEM) о состоянии Kaspersky CyberTrace Service.
Более подробные сведения о формате оповещений о событиях приведены ниже в подразделе «Формат служебных оповещений».
Формат контекста записи
Формат %RecordContext% определяет, каким образом к сообщению должны добавляться поля контекста. Формат этого шаблона можно задать в поле Records context format.
В формате %RecordContext% можно использовать следующие шаблоны:
Имя поля в потоке данных.
Значение поля.
Формат %RecordContext% используется в форматах оповещений о событиях и событиях обнаружений киберугроз:
Шаблон %RecordContext% определяет формат полей контекста, передаваемых в сообщении об обнаружении киберугрозы.
Например, если для %RecordContext% задано %ParamName%=%ParamValue%, то для потока данных об угрозах с полями Ip и Geo может быть получена следующая строка (обратите внимание на пробел между данными двух полей): "Ip=192.0.2.100 Geo=ru,br,ua,cz,us".
Шаблон %RecordContext% определяет формат полей контекста, передаваемых в служебном оповещении.
У каждого типа служебного оповещения особые поля. Например, если для %RecordContext% задано %ParamName%=%ParamValue%, то при обновлении потока данных об угрозах может быть получена следующая строка: «feed=Phishing_URL_Data_Feed.json records=200473».
Формат полей контекста
Формат %ActionableFields% определяет, каким образом к сообщению должны добавляться поля контекста. Для этого шаблона можно задать отдельный формат в поле Actionable fields context format.
В формате %ActionableFields% можно использовать следующие шаблоны:
Имя поля контекста.
Значение поля контекста.
Формат %ActionableFields% используется в формате сообщений об обнаружении киберугроз:
Шаблон %ActionableFields% определяет формат полей контекста, передаваемых в сообщения об обнаружении киберугроз.
Например, если для %ActionableFields% задано %ParamName%:%ParamValue%, а в потоке данных об угрозах присутствуют поля cn1 и cn2, то может быть получена следующая строка: «cn1:Example Device cn2:Example Environment».
Формат служебных оповещений
Этот формат можно указать в поле Alert events format.
В этом формате можно использовать следующие шаблоны:
Текущие дата и время в формате Mon DD HH:MM:SS.
Контекст оповещения (см. описание выше в разделе «Формат контекста записи»).
Ниже приведен пример формата оповещений о событиях:
%Date% alert=%Alert%%RecordContext% |
Если генерируется оповещение обновления потока данных об угрозах, в приведенном выше примере будет получено следующее оповещение:
Apr 16 09:05:41 alert=KL_ALERT_UpdatedFeed feed=Phishing_URL_Data_Feed.json records=200473 |
Формат сообщений об обнаружении киберугроз
Этот формат можно указать в поле Detection events format.
В этом формате можно использовать следующие шаблоны:
Категория обнаруженного объекта.
Текущие дата и время в формате Mon DD HH:MM:SS.
Этот шаблон представляет собой имя регулярного выражения. Шаблон заменяется значением, извлеченным из поля события, сопоставленного с регулярным выражением. Например, если имя регулярного выражения — имя RE_URL, шаблон для него — %RE_URL%, а сгенерированное сообщение содержит значение, сопоставленное с этим регулярным выражением.
Обнаруженный индикатор (URL, хеш или IP-адрес), ставший причиной события.
Идентификатор источника событий. Это имя, указанное для источника событий на вкладке Matching.
Идентификатор предустановленного источника событий — Default.
Уровень доверия. Это значение берется из значения доверия к индикатору потока данных, содержащего сопоставленные индикаторы из оповещения об обнаружении индикаторов компрометации.
Ссылка на веб-страницу Kaspersky CyberTrace, содержащую информацию об обнаруженном индикаторе.
Поля контекста (см. описание выше в разделе «Формат полей контекста»).
Контекст сообщения (см. описание выше в разделе «Формат контекста записи»).
Дата и время, когда приложением Kaspersky CyberTrace было получено событие обнаружения из SIEM-системы.
Признак того, что обнаружение было произведено в результате ретроспективного сканирования.
Ниже приведен пример элемента OutputSettings > EventFormat:
%Date% event_name=%Category% source=%SourceId% matchedIndicator=%MatchedIndicator% url=%RE_URL% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME% indicatorInfo=%IndicatorInfo% confidence=%Confidence%%RecordContext% |
По приведенному выше формату будет сгенерировано следующее оповещение:
Apr 16 09:05:41 eventName=KL_Malicious_Hash_MD5 source=ExampleSource matchedIndicator=C912705B4BBB14EC7E78FA8B370532C9 url=- src=192.0.2.4 ip=192.0.2.23 md5=C912705B4BBB14EC7E78FA8B370532C9 sha1=- sha256=- usrName=ExampleUser indicatorInfo=https://127.0.0.1/indicators?value=C912705B4BBB14EC7E78FA8B370532C9 confidence=100 MD5=C912705B4BBB14EC7E78FA8B370532C9 SHA1=8CBB395D31A711D683B1E36842AE851D5D000BAD SHA256=F6E62E9B3AF38A6BF331922B624844AAEB2D3658C4F0A54FA4651EAA6441C933 file_size=2989 first_seen=10.07.2016 23:53 last_seen=13.04.2020 08:08 popularity=1 threat=HEUR:Trojan.Win32.Generic |
Шаблоны для ArcSight
Kaspersky CyberTrace Service отправляет служебные оповещения в формате CEF. Форматы сообщений для ArcSight должны соответствовать требованиям формата CEF.
Для сообщений об обнаружении киберугроз следует использовать следующий формат:
|
В дополнение к общим шаблонам в формате оповещений об обнаружении индикаторов компрометации для ArcSight используются следующие шаблоны с названиями регулярных выражений:
%DST_IP% — IP-адрес точки назначения.%DeviceIp% — IP-адрес конечного устройства, на котором произошло событие.%RE_HASH% — хеш, содержащийся в событии.%RE_URL% — URL, содержащийся в событии.%Device% — поставщик устройства.%Product% — название устройства.%UserName% — имя пользователя, который был активен на конечном устройстве.%Id% — идентификатор события. Для служебных оповещений следует использовать следующий формат:
|
В указанном выше формате 4 (или другое значение от 1 до 10 ) — это уровень важности оповещений о событиях от Kaspersky CyberTrace.
Шаблоны для RSA NetWitness
Значения форматов сообщений об обнаружении киберугроз и служебных оповещений должны соответствовать форматам, заданным в файле v20_cybertracemsg.xml. В случае изменения форматов эти изменения необходимо также перенести в файл v20_cybertracemsg.xml.
Ниже приведен пример формата оповещения об обнаружении индикаторов компрометации:
|
В дополнение к общим шаблонам в формате оповещений об обнаружении индикаторов компрометации для RSA NetWitness используются следующие шаблоны с названиями регулярных выражений:
%RE_URL% — URL, содержащийся в событии.%RE_HASH% — хеш, содержащийся в событии.%DST_IP% — IP-адрес точки назначения.%SRC_IP% — IP-адрес источника.%DeviceIp% — IP-адрес конечного устройства, на котором произошло событие.%Device% — поставщик устройства.%DeviceAction% — действие, выполненное устройством.%UserName% — имя пользователя, который был активен на конечном устройстве.