Шаг 3. Настройка Kaspersky CyberTrace для взаимодействия с ArcSight
В этом разделе описывается порядок настройки Kaspersky CyberTrace для взаимодействия с ArcSight во время нормальной работы.
Чтобы настроить Kaspersky CyberTrace для взаимодействия с ArcSight, выполните следующие действия:
- Откройте веб-интерфейс Kaspersky CyberTrace.
- Перейдите на страницу Параметры → Общие.
- В разделе Входящие события выберите IP-адрес и порт, которые Kaspersky CyberTrace Service должен прослушивать для получения входящих событий.
- Перейдите на страницу Параметры → Источники событий.
- Нажмите на кнопку
(Изменить) рядом с источником событий По умолчанию.Откроется окно Изменить источник событий "{{sourceId}}".
- На вкладке Правила нормализации выполните следующие действия:
- В поле Что заменить введите последовательность символов
\= - В поле Чем заменить введите символ
=
После внесения изменений вкладка Правила нормализации должна выглядеть следующим образом:
Вкладка Правила нормализации.
- В поле Что заменить введите последовательность символов
- Выберите вкладку Регулярные выражения. На этой вкладке содержатся универсальные регулярные выражения, используемые для сопоставления URL (с протоколом), хешей, IP-адресов (источника и назначения), имени устройства, названия производителя, IP-адреса устройства, имени пользователя и идентификатора события. Измените эти регулярные выражения так, чтобы они обеспечивали сопоставление фактических событий.
- Закройте окно Изменить источник событий "{{sourceId}}".
- На странице Параметры → Служебные оповещения, введите следующую строку в поле Формат служебных оповещений:
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext% - На странице Параметры → Оповещения об обнаружении индикаторов компрометации введите следующую строку в поле Формат оповещения:
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cn3Label=Confidence cn3=%Confidence% cs6Label=Context cs6=%RecordContext%
ArcSight и поля контекста
В потоках данных об угрозах Kaspersky Data Feed используются следующие поля контекста (actionable fields). Поля контекста можно просматривать на странице Параметры → Потоки данных.
- Для потоков данных об угрозах Demo Botnet C&C URL Data Feed и Botnet C&C URL Data Feed:
Field name
Output
Поле CEF
mask
cs1
deviceCustomString1
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
threat
cs3
deviceCustomString3
urls/url
cs4
deviceCustomString4
whois/domain
cs2
deviceCustomString2
- Для потоков данных об угрозах Demo Malicious Hash Data Feed и Malicious Hash Data Feed:
Field name
Output
Поле CEF
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
threat
cs3
deviceCustomString3
urls/url
cs4
deviceCustomString4
file_size
fsize
file_size
- Для потоков данных об угрозах Demo IP Reputation Feed и IP Reputation Data Feed:
Field name
Output
Поле CEF
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
threat_score
cn1
deviceCustomNumber1
domains
cs2
deviceCustomString2
urls/url
cs4
deviceCustomString4
files/threat
cs3
deviceCustomString3
- Для потока данных об угрозах Malicious URL Data Feed:
Field name
Output
Поле CEF
mask
cs1
deviceCustomString1
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
files/threat
cs3
deviceCustomString3
category
cs4
deviceCustomString4
whois/domain
cs2
deviceCustomString2
- Для потока данных об угрозах Mobile Malicious Hash Data Feed:
Field name
Output
Поле CEF
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
threat
cs3
deviceCustomString3
file_size
fsize
file_size
- Для потока данных об угрозах Phishing URL Data Feed:
Field name
Output
Поле CEF
mask
cs1
deviceCustomString1
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
industry
deviceFacility
deviceFacility
whois/domain
cs2
deviceCustomString2
- Для потока данных об угрозах Mobile Botnet Data Feed:
Field name
Output
Поле CEF
threat
cs3
deviceCustomString3
- Для потока данных об угрозах APT URL Data Feed:
Field name
Output
Поле CEF
detection_date
flexString1
flexString1
publication_name
cs3
deviceCustomString3
- Для потока данных об угрозах APT IP Data Feed:
Field name
Output
Поле CEF
detection_date
flexString1
flexString1
publication_name
cs3
deviceCustomString3
- Для потока данных об угрозах APT Hash Data Feed:
Field name
Output
Поле CEF
detection_date
flexString1
flexString1
publication_name
cs3
deviceCustomString3
- Для потока данных об угрозах IoT URL Data Feed:
Field name
Output
Поле CEF
mask
cs1
deviceCustomString1
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
files/threat
cs3
deviceCustomString3
Очистка полей ArcSight, заполненных информацией из потоков данных об угрозах Kaspersky Data Feed
Если поле CEF требуется использовать не для информации из потоков данных об угрозах Kaspersky Data Feed, а для какой-либо другой информации, такое поле необходимо очистить.
Чтобы очистить поле CEF, выполните следующие действия:
- Выберите вкладку Параметры веб-интерфейса Kaspersky CyberTrace.
- Перейдите на страницу Потоки данных.
- Убедитесь, что выбрана вкладка Лаборатория Касперского, затем нажмите на тот поток данных об угрозах Kaspersky Threat Data Feeds, который содержит поле, которое требуется очистить.
- В разделе Поля контекста найдите поле Название выходного поля, содержащее имя поля CEF, которое требуется очистить.
- Нажмите на значок удаления (
) рядом с полем Название выходного поля, найденным на предыдущем шаге.