您可以使用 kata-alert-export 實用程式取得可匯入 GosSOPKA 系統的格式的 NDR偵測和事件資料。該實用程式包含在 Kaspersky Anti Targeted Attack Platform 分發套件中。
對於每個 NDR 偵測或事件,該實用程式會建立單獨的 XML 1.0 檔案 (UTF-8),其中包含指定時間段內有關此偵測或事件的資訊。
為 GosSOPKA 準備偵測資料
要準備要傳送給 GosSOPKA 的偵測資料,您只需執行該實用程式。
為 GosSOPKA 準備 NDR 事件資料
準備要傳送到 GosSOPKA 系統的 NDR 事件資料涉及以下步驟:
建立一個一般類型的連線器並保存其通信封包。
如果您使用的是分佈式解決方案或多租用戶模式,則在建立連線器的說明的步驟 4c 中,您需要指定要從中接收資料的 PCN 或 SCN 伺服器的IP 位址。如果您想從多個 Central Node 伺服器接收資料,則必須為每個伺服器建立一個連線器。
如果中央節點元件被部署為叢集,則可以在建立連線器時輸入叢集中任意伺服器的 IP 位址。
在建立連線器的說明的第 4c 步驟中建立連線器時指定的 IP 位址的 Central Node 伺服器上執行該實用程式。
記錄 NDR 偵測和事件資料時涉及的特殊注意事項
聚合警示被指定為根據 EXT 掃描結果註冊的事件所建立的警示的掃描技術。
頁面頂部