Настройка служебных оповещений
Служебные оповещения представляют собой исходящие сообщения, информирующие целевое программное обеспечение (например SIEM-систему) о статусе сервиса Kaspersky CyberTrace.
Настройка служебных оповещений выполняется в веб-интерфейсе Kaspersky CyberTrace на странице Параметры → Служебные оповещения. Для работы с этой страницей необходимо перейти в режим Управление системой. Этот режим доступен только пользователям с ролью «Администратор».
Страница Параметры → Служебные оповещения
На странице Служебные оповещения можно задать форматы сервисных оповещений и контекст записи.
Изменять формат оповещений вручную не рекомендуется. Вместо этого установите флажки для шаблонов, которые требуется использовать в оповещениях, после чего Kaspersky CyberTrace автоматически обновит формат.
На этой странице имеются следующие поля ввода:
- Формат служебных оповещений — укажите формат исходящих оповещений.
- Формат контекста записей — укажите формат, в котором имена и значения полей потока данных вставляются в исходящие оповещения.
Настройка форматов событий и оповещений для определенных SIEM-систем
Правильный формат оповещений о событиях и оповещениях об обнаружении индикаторов компрометации зависит от используемой SIEM-системы. В случае изменения формата событий или оповещений в Kaspersky CyberTrace также может потребоваться перенастройка интеграции с SIEM-системой.
- В случае ArcSight, возможно, потребуется обновить форматы событий и поля контекста.
- В случае QRadar, возможно, потребуется добавить парсинг новых полей.
- В случае RSA NetWitness, возможно, потребуется указать способ парсинга новых полей (см. также раздел Устранение неполадок RSA NetWitness).
- В случае LogRhythm, возможно, потребуется задать способ парсинга новых полей.