В этом разделе описывается порядок импорта в LogRhythm файлов, содержащих правила и события Kaspersky CyberTrace.
Если по какой-либо причине импорт не удается, можно настроить добавление событий Kaspersky CyberTrace и правил Kaspersky CyberTrace вручную.
Чтобы импортировать в LogRhythm файлы с правилами Kaspersky CyberTrace, выполните следующие действия:
mperule_%event_name%.xml
из каталога integration/logrhythm/events/
выполните следующие действия:MPERuleToMST > MsgSourceTypeID
и MsgSourceType > MsgSourceTypeID
идентификатором типа источника журналов из предыдущего шага.Например, <MsgSourceTypeID>1000000001</MsgSourceTypeID>
следует заменить на <MsgSourceTypeID>%CYBERTRACE_ID%</MsgSourceTypeID>
, где %CYBERTRACE_ID%
— идентификатор типа источника журнала Kaspersky CyberTrace.
Откроется форма Rule Builder.
Если импорт завершится успешно, откроется окно Rule Import Status.
Откроется окно Rule Browser.
Откроется окно с настройками правила.
Обратите внимание, что импортированное правило поступает в LogRhythm в статусе Development
и может не отображаться в списке всех правил. Отображение можно настроить в окне Rule Browser, которое открывается при выборе View > Show Development Rules.
Соответствующие общие события и правила MPE добавляются в LogRhythm для всех событий. Полный список событий описан в разделе о добавлении событий Kaspersky CyberTrace. Полный список правил MPE и их настройки описаны в разделе о добавлении правил Kaspersky CyberTrace.
Некоторые из импортированных событий Kaspersky CyberTrace могут иметь низкий рейтинг риска по классификации LogRhythm. В зависимости от настройки фильтров LogRhythm может игнорировать такие события. Проверьте классификацию и убедитесь, что рейтинг риска импортированных событий позволяет LogRhythm правильно их принимать и обрабатывать.
В начало