Просмотр событий Kaspersky CyberTrace Service

В этом разделе описывается порядок просмотра в RSA NetWitness событий, поступающих из Kaspersky CyberTrace Service.

Чтобы отобразить в RSA NetWitness события, поступающие из Kaspersky CyberTrace Service, выполните следующие действия:

  1. Убедитесь, что в RSA NetWitness включен экран Navigate.

    По умолчанию в RSA NetWitness версии 11.6 и более поздних экран Navigate отключен. Чтобы включить экран Navigate, выполните следующие действия:

    1. Перейдите в раздел Значок администратора RSA NetWitness. (Admin) > System > Investigation > Navigate.
    2. Установите флажок Enable Navigate.
    3. Нажмите на кнопку Apply.
  2. В меню RSA NetWitness выберите Investigation > Navigate.

    Откроется окно Investigate.

  3. На вкладке Services выберите Concentrator, в котором хранятся события из Kaspersky CyberTrace Service (или Log Decoder, в который Kaspersky CyberTrace Service отправляет события), и нажмите кнопку Navigate.

    Вкладка Services в RSA NetWitness.

    Окно Investigate

  4. На панели инструментов Navigate выберите Query.

    Панель инструментов Navigate в RSA NetWitness. Кнопка Query.

    Кнопка панели инструментов Query

    Откроется окно создания запроса (окно Create).

  5. Выберите Advanced и введите следующий запрос:

    device.type='cybertrace'

    Параметр Advanced в RSA NetWitness. Указание типа устройства.

    Указание типа устройства

  6. Нажмите на кнопку OK.

На экране Navigate отображаются события из Kaspersky CyberTrace Service.

Отображение событий из Feed Service в RSA NetWitness.

Отображение событий из Kaspersky CyberTrace Service

В начало