Настройка формата оповещений об обнаружении индикаторов компрометации
Оповещения об обнаружении индикаторов компрометации, содержащие информацию об обнаруженных совпадениях с индикаторами.
Вкладка Формат страницы Параметры → Оповещения об обнаружении индикаторов компрометации позволяет задавать формат исходящих оповещений об обнаружении индикаторов компрометации.
Вкладка Формат страницы Параметры → Оповещения об обнаружении индикаторов компрометации
Изменять формат оповещений вручную не рекомендуется. Вместо этого установите флажки для шаблонов, которые требуется использовать в оповещениях, после чего Kaspersky CyberTrace автоматически обновит формат.
Эта вкладка состоит из двух разделов:
- Служебные поля
Значения этих полей представляют собой шаблоны, сгенерированные Kaspersky CyberTrace.
Установите флажки для шаблонов, которые требуется использовать в исходящих оповещениях об обнаружении индикаторов компрометации. Kaspersky CyberTrace автоматически обновит формат в поле Формат оповещения.
- Значения, извлеченные из события
Значения этих полей извлекаются из входящих событий с помощью регулярных выражений, определенных для данного источника событий.
Установите флажки для шаблонов, которые требуется использовать в исходящих оповещениях об обнаружении индикаторов компрометации. Kaspersky CyberTrace автоматически обновит формат в поле Формат оповещения.
Настройка форматов событий и оповещений для определенных SIEM-систем
Правильный формат оповещений о событиях и оповещениях об обнаружении индикаторов компрометации зависит от используемой SIEM-системы. В случае изменения формата событий или оповещений в Kaspersky CyberTrace также может потребоваться перенастройка интеграции с SIEM-системой.
- В случае ArcSight, возможно, потребуется обновить форматы событий и поля контекста.
- В случае QRadar, возможно, потребуется добавить парсинг новых полей.
- В случае RSA NetWitness, возможно, потребуется указать способ парсинга новых полей (см. также раздел Устранение неполадок RSA NetWitness).
- В случае LogRhythm, возможно, потребуется задать способ парсинга новых полей.