Шаг 2. Импорт правил и событий Kaspersky CyberTrace

В этом разделе описывается порядок импорта в LogRhythm файлов, содержащих правила и события Kaspersky CyberTrace.

Если по какой-либо причине импорт не удается, можно настроить добавление событий Kaspersky CyberTrace и правил Kaspersky CyberTrace вручную.

Чтобы импортировать в LogRhythm файлы с правилами Kaspersky CyberTrace, выполните следующие действия:

  1. Для каждого файла формата mperule_%event_name%.xml из каталога integration/logrhythm/events/ выполните следующие действия:
    1. Откройте файл в текстовом редакторе.
    2. Замените значения элементов MPERuleToMST > MsgSourceTypeID и MsgSourceType > MsgSourceTypeID идентификатором типа источника журналов из предыдущего шага.

      Например, <MsgSourceTypeID>1000000001</MsgSourceTypeID> следует заменить на <MsgSourceTypeID>%CYBERTRACE_ID%</MsgSourceTypeID>, где %CYBERTRACE_ID% — идентификатор типа источника журнала Kaspersky CyberTrace.

    3. Сохраните файл.
  2. Откройте LogRhythm Console.
  3. Выберите Deployment Manager → Tools → Knowledge → MPE Rule Builder.

    Откроется форма Rule Builder.

  4. Для каждого файла, отредактированного на шаге 1 выше, выполните следующие действия:
    1. Выберите File → Import.

      Пункт меню Import в LogRhythm.

    2. В окне Import Actions нажмите на кнопку Yes.

      Окно Import Actions в LogRhythm.

      Если импорт завершится успешно, откроется окно Rule Import Status.

      Окно Rule Import Status в LogRhythm.

    3. На панели инструментов формы Rule Builder нажмите на кнопку Open rule library (Кнопка Open rule library в LogRhythm.).

      Откроется окно Rule Browser.

    4. Дважды нажмите на событие, которое было импортировано на шаге b.

      Откроется окно с настройками правила.

      Обратите внимание, что импортированное правило поступает в LogRhythm в статусе Development и может не отображаться в списке всех правил. Отображение можно настроить в окне Rule Browser, которое открывается при выборе View → Show Development Rules.

      Пункт меню View → Show Development Rules в LogRhythm.

    5. В открывшемся окне настроек General в разделе Rule Status выберите Production или Test.

      Окно настроек General в LogRhythm.

    6. Нажмите на кнопку Save.

    Соответствующие общие события и правила MPE добавляются в LogRhythm для всех событий. Полный список событий описан в разделе о добавлении событий Kaspersky CyberTrace. Полный список правил MPE и их настройки описаны в разделе о добавлении правил Kaspersky CyberTrace.

Некоторые из импортированных событий Kaspersky CyberTrace могут иметь низкий рейтинг риска по классификации LogRhythm. В зависимости от настройки фильтров LogRhythm может игнорировать такие события. Проверьте классификацию и убедитесь, что рейтинг риска импортированных событий позволяет LogRhythm правильно их принимать и обрабатывать.

В начало