Настройка правил фильтрации для оповещений об обнаружении индикаторов компрометации
На вкладке Фильтрация страницы Параметры → Оповещения об обнаружении индикаторов компрометации можно задать правила фильтрации оповещений об обнаружении индикаторов компрометации, отправляемых из Kaspersky CyberTrace в SIEM-систему
Вкладка Фильтрация страницы Параметры → Оповещения об обнаружении индикаторов компрометации
Kaspersky CyberTrace будет отправлять оповещения об обнаружении индикаторов компрометации только в том случае, если для флага отправки оповещений в SIEM-систему (атрибут события ioc_supplier_send_match из базы данных индикаторов) установлено значение true, а все поля записи потока данных, соответствующие индикатору, удовлетворяют критериям фильтрации. Обратите внимание, что если у обнаруженного индикатора нет атрибута, указанного в правиле фильтрации, считается, что этот индикатор удовлетворяет условиям фильтрации. Однако все оповещения об обнаружении индикаторов компрометации включаются в статистику и отображаются на страницах Информационная панель и Обнаружения.
Чтобы настроить фильтры для оповещений об обнаружении индикаторов компрометации, выполните следующие действия:
- В раскрывающемся списке Название поля выберите значение, соответствующее имени атрибута индикатора из базы данных индикаторов, к которой применяются правила фильтрации. В раскрывающемся списке Условие выберите условие фильтрации.
- В поле ввода Значение укажите значение фильтрации.
Значения в этом поле запрещается разделять точкой с запятой («
;»). Вместо этого выберите значение среди перечисленных (разделенные новой строкой) ИЛИ поле отсутствует в раскрывающемся списке Условие и используйте символ переноса строк («\n») или нажимайте клавишу Enter. В противном случае фильтр не будет применяться правильным образом. - Если требуется добавить новый фильтр оповещений, нажмите на кнопку Добавить фильтр.
При необходимости любые правила фильтрации можно изменить или удалить.
В начало