Шаг 4 (необязательный). Импорт правил Kaspersky CyberTrace Service в RSA NetWitness

В комплект поставки Kaspersky CyberTrace входит файл CyberTrace_Rules.zip в каталоге integration/rsa/additional_elements. Этот файл содержит набор правил, которые можно использовать для создания отчетов, информационных сообщений и информационных панелей.

Чтобы импортировать правила Kaspersky CyberTrace Service в RSA NetWitness, выполните следующие действия:

  1. В меню RSA NetWitness выберите Dashboard > Reports.

    В RSA NetWitness 11 вместо этого необходимо выбрать Monitor > Reports.

  2. Нажмите на кнопку Settings (Кнопка «Settings» в RSA NetWitness.) и выберите Import.

    Разделенная кнопка Settings (шестеренка) → пункт меню Import в RSA NetWitness.

    Импорт правил

  3. Выберите файл CyberTrace_Rules.zip.
  4. В окне Import Rule установите флажок Rule и флажок List.

    Если файл CyberTrace_Rules.zip импортируется впервые, эти флажки можно оставить снятыми.

  5. Нажмите на кнопку Import.

    Окно Import Rule в RSA NetWitness.

    Импорт правил Kaspersky CyberTrace Service

Правила, импортируемые в RSA NetWitness, перечислены в таблице ниже.

Правило

Описание

CyberTrace Detect Botnet

Выбирает события обнаруженных киберугроз из Kaspersky CyberTrace Service, имеющие категорию Botnet.

Выбираются следующие поля:

  • url
  • checksum
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Malware Hash

Выбирает события обнаруженых хешей из Kaspersky CyberTrace Service.

Выбираются следующие поля:

  • virusname
  • checksum
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Malware IP

Выбирает события обнаруженных IP-адресов из Kaspersky CyberTrace Service.

Выбираются следующие поля:

  • virusname
  • ip.dst
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Malware URL

Выбирает события обнаруженных URL из Kaspersky CyberTrace Service.

Выбираются следующие поля:

  • virusname
  • url
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Stat

Выбирает все категории, используемые в процессе обнаружения киберугроз.

Выбираются следующие поля:

  • virusname

CyberTrace Service events

Выбирает сервисные события из Kaspersky CyberTrace Service.

Выбираются следующие поля:

  • action
  • msg

CyberTrace Top 10 IP

Выбирает топ-10 обнаруженных IP-адресов.

Выбираются следующие поля:

  • kl.detected

CyberTrace Top 10 URL

Выбирает топ-10 обнаруженных URL.

Выбираются следующие поля:

  • url

CyberTrace Top 10 Hash

Выбирает топ-10 обнаруженных хешей.

Выбираются следующие поля:

  • checksum

CyberTrace Detected users

Вычисляет количество событий обнаруженных киберугроз на одного пользователя.

В начало