О шаблонах формата служебных оповещений

Форматы и шаблоны позволяют включать определенную информацию в оповещения об обнаружении индикаторов компрометации, генерируемые Kaspersky CyberTrace.

Форматы — это строки, определяющие формат оповещения или шаблона. Шаблоны — это специальные подстановочные строки, которые можно использовать при определении форматов. При генерации оповещения шаблон заменяется фактическими данными.

Формат контекста записи

Формат %RecordContext% определяет, каким образом к оповещению должны добавляться поля контекста. Формат этого шаблона можно задать в настройках служебных оповещений.

В формате %RecordContext% можно использовать следующие шаблоны:

• %ParamName%

  Имя поля в потоке данных.

• %ParamValue%

  Значение поля.

Формат %RecordContext% определяет формат полей контекста, передаваемых в сообщении об обнаружении киберугрозы.

Например, если для %RecordContext% задано %ParamName%=%ParamValue%, то для потока данных об угрозах с полями Ip и Geo может быть получена следующая строка (обратите внимание на пробел между данными двух полей): "Ip=192.0.2.100 Geo=ru,br,ua,cz,us".

Формат полей контекста

Формат %ActionableFields% определяет, каким образом к оповещению должны добавляться поля контекста. Для этого шаблона можно задать отдельный формат в настройках контекста оповещений об обнаружении индикаторов компрометации.

В формате %ActionableFields% можно использовать следующие шаблоны:

• %ParamName%

  Имя поля контекста.

• %ParamValue%

  Значение поля контекста.

Формат %ActionableFields% определяет формат полей контекста, передаваемых в оповещениях об обнаружении индикаторов компрометации.

Например, если для %ActionableFields% задано %ParamName%:%ParamValue%, а в потоке данных об угрозах присутствуют поля cn1 и cn2, то может быть получена следующая строка: "cn1:Example Device cn2:Example Environment".

Формат оповещений об обнаружении индикаторов компрометации

Этот формат можно указать в настройках формата оповещений об обнаружении индикаторов компрометации.

В этом формате можно использовать следующие шаблоны:

• %Category%

  Категория обнаруженного объекта.

• %RecordContext%

  Контекст оповещения (см. описание выше в разделе «Формат контекста записи»).

• %Confidence%

  Уровень доверия. Это значение берется из значения доверия к индикатору потока данных, содержащего сопоставленные индикаторы из оповещения об обнаружении индикаторов компрометации.

• %IndicatorInfo%

  Ссылка на веб-страницу Kaspersky CyberTrace, содержащую информацию об обнаруженном индикаторе.

• %MatchedIndicator%

  Обнаруженный индикатор (URL, хеш или IP-адрес), ставший причиной оповещения.

• %ActionableFields%

  Поля контекста (см. описание выше в разделе «Формат полей контекста»).

• %SourceId%

  Идентификатор источника событий. Это имя, указанное для источника событий.

  Идентификатор предустановленного источника событий — Default.

• %Date%

  Текущие дата и время в формате Mon DD HH:MM:SS.

• %EventReceivedDate%

  Дата и время, когда приложением Kaspersky CyberTrace было получено событие обнаружения из SIEM-системы.

• %Retroscan%

  Признак того, что обнаружение было произведено в результате ретроспективного сканирования.

• Имя регулярного выражения

  Этот шаблон представляет собой имя регулярного выражения. Шаблон заменяется значением, извлеченным из поля события, сопоставленного с регулярным выражением. Например, если имя регулярного выражения — имя RE_URL, шаблон для него — %RE_URL%, а сгенерированное оповещение содержит значение, сопоставленное с этим регулярным выражением.

Ниже приведен пример элемента OutputSettings > EventFormat:

%Date% event_name=%Category% source=%SourceId% matchedIndicator=%MatchedIndicator% url=%RE_URL% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME% indicatorInfo=%IndicatorInfo% confidence=%Confidence%%RecordContext%

По приведенному выше формату будет сгенерировано следующее оповещение:

Apr 16 09:05:41 eventName=KL_Malicious_Hash_MD5 source=ExampleSource matchedIndicator=C912705B4BBB14EC7E78FA8B370532C9 url=- src=192.0.2.4 ip=192.0.2.23 md5=C912705B4BBB14EC7E78FA8B370532C9 sha1=- sha256=- usrName=ExampleUser indicatorInfo=https://127.0.0.1/indicators?value=C912705B4BBB14EC7E78FA8B370532C9 confidence=100 MD5=C912705B4BBB14EC7E78FA8B370532C9 SHA1=8CBB395D31A711D683B1E36842AE851D5D000BAD SHA256=F6E62E9B3AF38A6BF331922B624844AAEB2D3658C4F0A54FA4651EAA6441C933 file_size=2989 first_seen=10.07.2016 23:53 last_seen=13.04.2020 08:08 popularity=1 threat=HEUR:Trojan.Win32.Generic

Шаблоны для ArcSight

Для оповещений об обнаружении индикаторов компрометации следует использовать следующий формат:

CEF:0|Kaspersky Lab|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cs6Label=Context cs6=%RecordContext%

В дополнение к общим шаблонам в формате оповещений об обнаружении индикаторов компрометации для ArcSight используются следующие шаблоны с названиями регулярных выражений:

• %DST_IP% — IP-адрес точки назначения.
• %DeviceIp% — IP-адрес конечного устройства, на котором произошло событие.
• %RE_HASH% — хеш, содержащийся в событии.
• %RE_URL% — URL, содержащийся в событии.
• %Device% — поставщик устройства.
• %Product% — название устройства.
• %UserName% — имя пользователя, который был активен на конечном устройстве.
• %Id% — идентификатор события.

Шаблоны для RSA NetWitness

Значения форматов оповещений об обнаружении киберугроз должны соответствовать форматам, заданным в файле v20_cybertracemsg.xml. В случае изменения форматов эти изменения необходимо также перенести в файл v20_cybertracemsg.xml.

Ниже приведен пример формата оповещения об обнаружении индикаторов компрометации:

<232>%CyberTrace:MATCH_EVENT category=%Category%,detected=%MatchedIndicator%,url=%RE_URL%,hash=%RE_HASH%,dst=%DST_IP%,src=%SRC_IP%,dvc=%DeviceIp%,dev_name=%Device%,dev_action=%DeviceAction%,user=%UserName%,actF:%ActionableFields%,context=%RecordContext%

В дополнение к общим шаблонам в формате оповещений об обнаружении индикаторов компрометации для RSA NetWitness используются следующие шаблоны с названиями регулярных выражений:

• %RE_URL% — URL, содержащийся в событии.
• %RE_HASH% — хеш, содержащийся в событии.
• %DST_IP% — IP-адрес точки назначения.
• %SRC_IP% — IP-адрес источника.
• %DeviceIp% — IP-адрес конечного устройства, на котором произошло событие.
• %Device% — поставщик устройства.
• %DeviceAction% — действие, выполненное устройством.
• %UserName% — имя пользователя, который был активен на конечном устройстве.

В начало