OutputSettings

Содержит параметры вывода для тенанта «General».

Определяет адрес и порт целевого программного обеспечения, в которое отправляются исходящие события, а также формат исходящих событий.

Путь

OutputSettings

Атрибуты

У этого элемента нет атрибутов.

Вложенные элементы

Чтобы указать значения элементов EventFormat, RecordFieldContextFormat, ActionableFieldContextFormat и AlertFormat, может потребоваться ознакомление с дополнительной информацией о шаблонах формата событий.

Этот элемент является контейнером для следующих вложенных элементов:

• EventFormat

  Задает формат исходящих событий.

  Элемент EventFormat является обязательным.

• RecordFieldContextFormat

  Указывает, как поля контекста должны добавляться к событию.

  Элемент RecordFieldContextFormat является обязательным.

• ActionableFieldContextFormat

  Определяет, каким образом к событию должны добавляться поля контекста.

  Элемент ActionableFieldContextFormat является обязательным.

• AlertFormat

  Задает формат исходящих событий, которые информируют целевое программное обеспечение о состоянии Kaspersky CyberTrace Service.

  Элемент AlertFormat не является обязательным. Если элемент отсутствует в конфигурационном файле, уведомление не формируется.

• ConnectionString

  Задает IP-адрес и порт (или именованный канал Windows), на которые сервис будет отправлять исходящие события.

  Элемент ConnectionString является обязательным.

  Дополнительные сведения об этом элементе приведены в подразделе «OutputSettings > ConnectionString» ниже.

• AlertConnectionString

  Задает IP-адрес (или хост) и порт, на который сервис будет отправлять сервисные информационные сообщения.

  Элемент AlertConnectionString не является обязательным.

  Дополнительные сведения об этом элементе приведены в подразделе «OutputSettings > AlertConnectionString» ниже.

• FinishedEventFormat

  Задает формат информационного события, создаваемого для каждого обработанного события.

  Элемент FinishedEventFormat является обязательным.

  Дополнительные сведения об этом элементе приведены в подразделе «OutputSettings > FinishedEventFormat» ниже.

OutputSettings > ConnectionString

Задает IP-адрес (или хост) и порт, на который сервис будет отправлять сервисные информационные сообщения.

Строка имеет формат <ip_address>:<port> (если используются IP-адрес и порт) или \\.\pipe\<pipe_name> (если используется именованный канал Windows).

Можно использовать адрес IPv4 или IPv6.

OutputSettings > AlertConnectionString

Задает IP-адрес (или хост) и порт, на который сервис будет отправлять сервисные информационные сообщения.

Значение элемента имеет формат <ip_address>:<port> (если используются IP-адрес и порт) или \\.\pipe\<pipe_name> (если используется именованный канал Windows). IP-адрес должен состоять из четырех десятичных октетов, разделенных точкой. Значение в каждом октете должно быть меньше 256.

Элемент AlertConnectionString не является обязательным. Если элемент пропущен, для этого элемента используется атрибут enabled со значением false.

У этого элемента есть следующие атрибуты:

Атрибуты элемента «AlertConnectionString»

Атрибут

Описание

enabled

Определяет, отправляет ли Kaspersky CyberTrace Service оповещения о событиях на указанные IP-адрес и порт. Возможные значения: true, false. Если значение равно true, Kaspersky CyberTrace Service отправляет оповещения на IP-адрес и порт, указанные в этом элементе. Если значение равно false, Kaspersky CyberTrace Service отправляет оповещения на IP-адрес и порт, указанные в элементе OutputSettings > ConnectionString.

OutputSettings > FinishedEventFormat

Задает формат информационного события, которое генерируется после обработки события.

Если этот параметр включен, Kaspersky CyberTrace генерирует информационное событие для каждого обрабатываемого события. Информационное событие генерируется, даже если обнаружений не было.

Элемент FinishedEventFormat является обязательным.

Значение этого элемента задает формат события. В формате можно использовать шаблон %RecordContext% и имена регулярных выражений.

Если используется шаблон %RecordContext%, он предоставляет следующие поля:

• category

  Для событий данного типа это "LookupFinished".

• sent_events

  Количество событий, отправленных в SIEM-решение.

• total

  Конкатенация следующих подстрок, сформированных для каждой категории, отнесенной к событиям обнаружений киберугроз:

  <category>:<number_of_detections>;

  Если обнаружений не было, значением параметра sent_events является 0, а значением параметра total является пустая строка.

У этого элемента есть следующие атрибуты:

Атрибуты элемента «FinishedEventFormat»

Атрибут	Описание
enabled	Определяет, генерируются ли специальные информационные события. Возможные значения: true, false. Если значение равно true, Kaspersky CyberTrace Service генерирует специальные информационные события. Если значение равно false или этот атрибут не указан, Kaspersky CyberTrace Service не генерирует специальные информационные события. Этот атрибут не является обязательным.

Пример

Ниже приведен пример этого элемента.

<OutputSettings> <RecordFieldContextFormat><![CDATA[ %ParamName%=%ParamValue%]]></RecordFieldContextFormat> <AlertFormat>%Date% alert=%Alert%%RecordContext%</AlertFormat> <EventFormat>%RE_DATE% category=%Category% matchedIndicator=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME%%RecordContext%</EventFormat> <FinishedEventFormat enabled="true">LookupFinished %RecordContext%</FinishedEventFormat> <ActionableFieldContextFormat><![CDATA[ %ParamName%:%ParamValue%]]></ActionableFieldContextFormat> <ConnectionString>127.0.0.1:9998</ConnectionString> <AlertConnectionString>192.0.2.145:9998</AlertConnectionString> </OutputSettings>

В начало