OutputSettings

Содержит параметры вывода для тенанта «General».

Определяет адрес и порт целевого программного обеспечения, в которое отправляются исходящие события, а также формат исходящих событий.

Путь

OutputSettings

Атрибуты

У этого элемента нет атрибутов.

Вложенные элементы

Чтобы указать значения элементов EventFormat, RecordFieldContextFormat, ActionableFieldContextFormat и AlertFormat, может потребоваться ознакомление с дополнительной информацией о шаблонах формата событий.

Этот элемент является контейнером для следующих вложенных элементов:

EventFormat
Задает формат исходящих событий.

Этот элемент является обязательным.
RecordFieldContextFormat
Указывает, как поля контекста должны добавляться к событию.

Этот элемент является обязательным.
ActionableFieldContextFormat
Определяет, каким образом к событию должны добавляться поля контекста.

Этот элемент является обязательным.
AlertFormat
Задает формат исходящих оповещений, которые информируют целевое программное обеспечение о состоянии сервиса Kaspersky CyberTrace.

Этот элемент не является обязательным. Если элемент отсутствует в конфигурационном файле, уведомление не формируется.
ConnectionString
Задает IP-адрес и порт (или именованный канал Windows), на которые сервис будет отправлять исходящие оповещения.

Этот элемент является обязательным.

Дополнительные сведения об этом элементе приведены в подразделе «OutputSettings > ConnectionString» ниже.
AlertConnectionString
Задает IP-адрес (или хост) и порт, на который сервис будет отправлять сервисные информационные сообщения.

Этот элемент не является обязательным.

Дополнительные сведения об этом элементе приведены в подразделе «OutputSettings > AlertConnectionString» ниже.
FinishedEventFormat
Задает формат информационного события, создаваемого для каждого обработанного события.

Этот элемент является обязательным.

Дополнительные сведения об этом элементе приведены в подразделе «OutputSettings > FinishedEventFormat» ниже.

OutputSettings > ConnectionString

Задает IP-адрес (или хост) и порт, на который сервис будет отправлять сервисные информационные сообщения.

Строка имеет формат <ip_address>:<port> (если используются IP-адрес и порт) или \\.\pipe\<pipe_name> (если используется именованный канал Windows).

Можно использовать адрес IPv4 или IPv6.

OutputSettings > AlertConnectionString

Задает IP-адрес (или хост) и порт, на который сервис будет отправлять сервисные информационные сообщения.

Значение элемента имеет формат <ip_address>:<port> (если используются IP-адрес и порт) или \\.\pipe\<pipe_name> (если используется именованный канал Windows). IP-адрес должен состоять из четырех десятичных октетов, разделенных точкой. Значение в каждом октете должно быть меньше 256.

Этот элемент не является обязательным. Если элемент пропущен, для этого элемента используется атрибут enabled со значением false.

У этого элемента есть следующие атрибуты:

Атрибуты элемента «AlertConnectionString»

Атрибут	Описание
`enabled`	Определяет, отправляет ли сервис Kaspersky CyberTrace служебные оповещения на указанные IP-адрес и порт. Возможные значения: `true`, `false`. Если значение равно `true`, сервис Kaspersky CyberTrace отправляет служебные оповещения на IP-адрес и порт, указанные в этом элементе. оповещениеЕсли значение равно `false`, сервис Kaspersky CyberTrace отправляет оповещения на IP-адрес и порт, указанные в элементе OutputSettings → ConnectionString.

Атрибут

Описание

enabled

Определяет, отправляет ли сервис Kaspersky CyberTrace служебные оповещения на указанные IP-адрес и порт.

Возможные значения: true, false.

Если значение равно true, сервис Kaspersky CyberTrace отправляет служебные оповещения на IP-адрес и порт, указанные в этом элементе.

оповещениеЕсли значение равно false, сервис Kaspersky CyberTrace отправляет оповещения на IP-адрес и порт, указанные в элементе OutputSettings → ConnectionString.

OutputSettings > FinishedEventFormat

Задает формат оповещения, которое генерируется после обработки события.

Если этот параметр включен, Kaspersky CyberTrace генерирует оповещение для каждого обрабатываемого события. Оповещение генерируется, даже если обнаружений киберугроз не было.

Этот элемент является обязательным.

Значение этого элемента задает формат события. В формате можно использовать шаблон %RecordContext% и имена регулярных выражений.

Если используется шаблон %RecordContext%, он предоставляет следующие поля:

category
Для событий данного типа это «LookupFinished».
sent_events
Количество событий, отправленных в SIEM-систему.
total
Конкатенация следующих подстрок, сформированных для каждой категории, отнесенной к событиям обнаружений киберугроз:

<category>:<number_of_detections>;

Если обнаружений не было, значением параметра sent_events является 0, а значением параметра total является пустая строка.

У этого элемента есть следующие атрибуты:

Атрибуты элемента «FinishedEventFormat»

Атрибут	Описание
`enabled`	Определяет, генерируются ли специальные оповещения. Возможные значения: `true`, `false`. Если значение равно `true`, сервис Kaspersky CyberTrace генерирует специальные оповещения. Если значение равно `false` или этот атрибут не указан, сервис Kaspersky CyberTrace не генерирует специальные оповещения. Этот атрибут не является обязательным.

Атрибут

Описание

enabled

Определяет, генерируются ли специальные оповещения.

Возможные значения: true, false.

Если значение равно true, сервис Kaspersky CyberTrace генерирует специальные оповещения.

Если значение равно false или этот атрибут не указан, сервис Kaspersky CyberTrace не генерирует специальные оповещения.

Этот атрибут не является обязательным.

Пример

Ниже приведен пример этого элемента.

<AlertFormat>%Date% alert=%Alert%%RecordContext%</AlertFormat>

<EventFormat>%RE_DATE% category=%Category% matchedIndicator=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME%%RecordContext%</EventFormat>

<FinishedEventFormat enabled="true">LookupFinished %RecordContext%</FinishedEventFormat>

</OutputSettings>

В начало