Оқиғаларды SIEM жүйесіне (QRadar, ArcSight немесе Splunk) жібермей тұрып, siem_conversion_rules.xml файлында көрсетілген ережелерді пайдалану арқылы Kaspersky Security Center оқиғаларын CEF және LEEF форматындағы оқиғаларға интерпретациялау қажет. Бұл файл Kaspersky Security Center тарату жиынтығының құрамына кіреді.
siem_conversion_rules.xml файлында оқиғаларды CEF және LEEF форматына түрлендіру үшін алдын ала анықталған интерпретациялау ережелері бар. Оқиғаларды интерпретациялаудың қосымша ережелерін пайдаланғыңыз келсе, оларды файлға қолмен қосуға болады.
siem_conversion_rules.xml файлы <product name="SP_QRADAR" vendor="IBM"> және <product name="SP_QRADAR" vendor="IBM"> бөлімдерін қамтиды. <product name="SP_QRADAR" vendor="IBM"> бөлімінде оқиғаларды LEEF форматында жасау ережелері бар, оны QRadar SIEM жүйесіне экспорттауға болады. <product name="SP_ARCSIGHT" vendor="HP"> бөлімінде оқиғаларды CEF форматында жасауға арналған ережелер бар, оны ArcSight немесе Splunk SIEM жүйесіне экспорттауға болады.
Әрбір бөлімде <common> ішкі бөлімі бар, ол жерде Kaspersky Security Center оқиға атрибуттары және оқиғалардың LEEF форматындағы тиісті атрибуттары орналасқан. Бұл жалпы атрибуттар экспортталатын оқиғалардың барлық түрі үшін пайдаланылады.
Сондай-ақ әрбір бөлімде <event> ішкі бөлімдері бар. Әрбір <event> ішкі бөлімінде <common> бөліміндегіге қосылатын қосымша атрибуттар бар.
siem_conversion_rules.xml файлына жаңа оқиғаны жасау ережесін қолмен қосуға болады.
Жаңа оқиғаны жасау ережесін қосу үшін:
<product name="SP_QRADAR" vendor="IBM"> немесе <product name="SP_QRADAR" vendor="IBM"> бөліміне жаңа <event> ішкі бөлімін қосыңыз, содан кейін қажет болса, қосымша оқиға атрибуттарын көрсетіңіз.<event> ішкі бөлімі бос болады.siem_conversion_rules.xml
<conversion_rules>
<product name="SP_QRADAR" vendor="IBM">
<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND"> <!-- Generation rule for the GNRL_EV_VIRUS_FOUND event with additional attributes -->
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>
</param>
...
</event>
...
</product>
<product name="SP_ARCSIGHT" vendor="HP">
<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="dhost" type="AT_STRING" limit="1023"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND">
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="cs4" type="AT_STRING" limit="255"/>
<attr name="cs4Label" type="AT_STRING" val="SHA256"/>
</param>
...
</product>
</conversion_rules>
Басына оралу