QRadar должен правильно обрабатывать входящие события от Kaspersky CyberTrace Service. Для этого необходимо добавить в QRadar список допустимых событий (список идентификаторов QRadar — QID). В Kaspersky CyberTrace Service категории событий определяются в конфигурационном файле в элементе Feeds > Feed > Field, в атрибуте category.
В состав комплекта поставки Kaspersky CyberTrace входит файл sample_qid.txt, содержащий необходимые события от Kaspersky CyberTrace Service. Описания этих событий изменять не следует, вместо этого добавьте в файл собственные события.
Рекомендуется присваивать имена категориям событий в соответствии с форматом "KL_<feed>_<object_type>", где:
<feed> — имя потока данных об угрозах, обнаруживающего событие (например, PhishingUrl.<object_type> — поле, по которому обнаруживается событие (например, URL, Hash_MD5, Hash_SHA1, Hash_SHA256).Чтобы импортировать список QID в QRadar, выполните следующие действия:
%service_dir%/integration/qradar/sample_qid.txt, добавив в него все категории событий, содержащиеся в конфигурационном файле.Каждая категория событий должна быть описана на отдельной строке в следующем формате:
,<event>,<descr>,<sev>,<cat_id>
где:
<event> — имя входящего события.<descr> — описание события.<sev> — уровень важности события.<cat_id> — низкоуровневый идентификатор события QRadar.Полный список идентификаторов событий QRadar вывести с помощью следующей команды:
/opt/qradar/bin/qidmap_cli.sh -l
Рекомендуется выбирать значения <sev> и <cat_id> в соответствии с документацией QRadar.
Например:
,KL_Malicious_URL,Malicious URL is detected by Kaspersky Threat Feed Service,8,7058
%service_dir%/integration/qradar/sample_qid.txt на сервер, на котором установлен QRadar./opt/qradar/bin/qidmap_cli.sh -i -f <filename>
где <filename> — путь назначения файла sample_qid.txt, загруженного на шаге 2.
/opt/qradar/bin/qidmap_cli.sh –e
В случае возникновения ошибки см. варианты решения проблемы в Руководстве администратора IBM Security QRadar.
В начало