Создание уведомлений о входящих сервисных событиях

Для создания уведомлений о входящих сервисных событиях Kaspersky CyberTrace можно настроить правила информационных сообщений.

Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в ArcSight ESM, выполните следующие действия:

  1. Запустите ArcSight Console.
  2. На панели Navigator в раскрывающемся списке выберите Rules.
  3. В дереве выберите Rules > Shared > All Rules > Public directory.

    Дерево «Rules» в ArcSight.

    Дерево Rules

  4. Щелкните правой кнопкой мыши узел фильтра в дереве Kaspersky CyberTrace Connector и выберите New Rule > Standard Rule.
  5. На панели Inspect > Edit задайте следующие настройки:
    • В поле Name на вкладке Attributes укажите имя правила.

      Указываемое имя может быть любым.

    • На вкладке Conditions укажите следующие условия:
      • Device Product = Kaspersky CyberTrace for ArcSight
      • Reason = %ServiceEventCode%

        Где %ServiceEventCode% — код сервисного события, который используется для генерации уведомлений.

    Условия событий в ArcSight.

    Условия событий

    • Щелкните правой кнопкой мыши вкладку Actions, выберите On Every Event, затем выберите следующее:
      • Activate Trigger
      • Add

        Эта настройка должна содержать действие, которое будет выполняться при получении сервисного события, указанного на вкладке Conditions. Например, Send Notification.

    Окно Add "Send Notification" Action в ArcSight.

    Добавление действий

  6. Нажмите на кнопку Apply.
В начало