Форматы и шаблоны позволяют включать определенную информацию в служебные оповещения, генерируемые Kaspersky CyberTrace.
Форматы — это строки, определяющие формат оповещения или шаблона. Шаблоны — это специальные подстановочные строки, которые можно использовать при определении форматов. При генерации оповещения шаблон заменяется фактическими данными.
Формат контекста записи
Формат %RecordContext% определяет, каким образом к оповещению должны добавляться поля контекста. Этот формат можно указать в настройке служебных оповещений.
В формате %RecordContext% можно использовать следующие шаблоны:
Имя поля в потоке данных.
Значение поля.
Формат %RecordContext% определяет формат полей контекста, передаваемых в служебном оповещении.
У каждого типа служебного оповещения особые поля. Например, если для %RecordContext% задано %ParamName%=%ParamValue%"feed=Phishing_URL_Data_Feed.json records=200473"
Формат служебных оповещений
Этот формат можно указать в настройке служебных оповещений.
В этом формате можно использовать следующие шаблоны:
Контекст оповещения (см. описание выше в разделе «Формат контекста записи»).
Текущие дата и время в формате Mon DD HH:MM:SS
Ниже приведен пример формата служебных оповещений:
%Date% alert=%Alert%%RecordContext% |
Если генерируется оповещение обновления потока данных об угрозах, в приведенном выше примере будет получено следующее оповещение:
Apr 16 09:05:41 alert=KL_ALERT_UpdatedFeed feed=Phishing_URL_Data_Feed.json records=200473 |
Шаблоны для ArcSight
Kaspersky CyberTrace Service отправляет служебные оповещения в формате CEF. Форматы сообщений для ArcSight должны соответствовать требованиям формата CEF.
Используется следующий формат:
|
В приведенном выше формате 4110
Шаблоны для RSA NetWitness
Значения форматов служебных оповещений должны соответствовать форматам, заданным в файле v20_cybertracemsg.xml. В случае изменения форматов эти изменения необходимо также перенести в файл v20_cybertracemsg.xml.
В начало