Настройка формата событий
Для управления настройками форматов событий в веб-интерфейсе пользователя CyberTrace необходимо перейти на вкладку Settings, а затем на вкладку Events format. В зависимости от выбранного пункта в раскрывающемся списке всех доступных тенантов в левом верхнем углу окна, изменения отразятся либо на общих настройках формата событий (если выбран тенант General), либо на настройках для определенного тенанта (если выбран этот тенант настроек).
Форматы событий Kaspersky CyberTrace
На вкладке Events format можно задать форматы событий обнаружений киберугроз, оповещений о событии, контекста записей и полей контекста. Подробнее о форматах и шаблонах событий.
Изменять формат событий вручную не рекомендуется. Установите флажки для шаблонов, которые требуется использовать в исходящих событиях, после чего Kaspersky CyberTrace автоматически обновит формат.
Некоторые источники событий могут потребовать изменения формата событий в зависимости от используемой интеграции (см. подраздел «Настройка форматов событий для определенных источников событий» ниже).
На этой вкладке имеются следующие поля ввода:
- Alert events format — укажите формат исходящих событий, информирующих целевое программное обеспечение о состоянии Kaspersky CyberTrace Service.
- Detection events format — укажите формат исходящих событий обнаружений киберугроз.
Этот раздел состоит из двух подразделов:
- Service fields
Значения этих полей представляют собой шаблоны, сгенерированные Kaspersky CyberTrace.
Установите флажки для шаблонов, которые требуется использовать в исходящих событиях обнаружений киберугроз. Kaspersky CyberTrace обновит формат автоматически.
- Values extracted from the event
Значения этих полей извлекаются из входящих событий с помощью регулярных выражений, определенных для данного источника событий.
Установите флажки для шаблонов, которые требуется использовать в исходящих событиях обнаружений киберугроз. Kaspersky CyberTrace обновит формат автоматически.
- Service fields
- Records context format — укажите формат, в котором имена и значения полей потока данных об угрозах вставляются в исходящие события.
- Actionable fields context format — укажите формат, в котором имена и значения полей контекста потока данных об угрозах вставляются в исходящие события.
Настройка форматов событий для определенных SIEM-решений
Правильный формат оповещений о событиях и событий обнаружений киберугроз зависит от используемого SIEM-решения. В случае изменения формата событий в CyberTrace также может потребоваться перенастроить интеграцию с решением SIEM.
Для ArcSight:
- Возможно, потребуется обновить форматы событий и поля контекста.
Для QRadar:
- Возможно, потребуется добавить парсинг новых полей.
Для RSA NetWitness:
- Возможно, потребуется указать способ парсинга новых полей (см. также раздел Устранение неполадок RSA NetWitness).
Для LogRhythm:
- Возможно, потребуется задать способ парсинга новых полей.