Шаг 1. Пересылка событий из RSA NetWitness

В этом разделе описывается порядок настройки в RSA NetWitness пересылки получаемых событий в Kaspersky CyberTrace Service.

Чтобы пересылать события из RSA NetWitness в Kaspersky CyberTrace Service, выполните следующие действия:

  1. В главном окне RSA NetWitness выберите Значок администратора RSA NetWitness. (Admin) > System.
  2. В таблице Services ниже выберите требуемый Log Decoder (тот, Log Decoder, который получает события, содержащие URL, хеш или IP-адрес).

    Окно Services в RSA NetWitness. Выбор Log Decoder.

    Выбор Log Decoder

    Если для приема событий используется более одного Log Decoder, повторите следующие шаги для каждого Log Decoder.

  3. Для выбранного Log Decoder в столбце Actions нажмите кнопку Settings (Кнопка «Settings» в RSA NetWitness.), затем в раскрывающемся списке выберите View > Config.
  4. Перейдите на вкладку App Rules и нажмите кнопку Add (Знак «плюс» в RSA NetWitness.).

    Откроется окно Rule Editor.

  5. Задайте следующие параметры:
    • Rule Name: cybertrace
    • Condition: device.type='%DEVICE_NAME_1%'

      Это пример условия, в котором строка %DEVICE_NAME_1% представляет собой имя устройства, события которого должны отправляться в Kaspersky CyberTrace Service. Ниже приведен еще один пример условия, в соответствии с которым события из Cisco™ ASA и Check Point Firewall должны отправляться в Kaspersky CyberTrace Service:

      device.type='ciscoasa' || device.type='checkpointfw1'

      Если событие соответствует указанному здесь условию, оно отправляется в Kaspersky CyberTrace Service.

    • Флажок Alert: установлен
    • Флажок Forward: установлен

    Окно Rule Editor в RSA NetWitness.

    Окно «Rule Editor»

    Для получения информации о порядке создания правил, см. https://community.rsa.com/t5/rsa-netwitness-platform-online/configure-application-rules/ta-p/592148.

  6. Нажмите на кнопку OK.
  7. Нажмите на кнопку Apply.
  8. Рядом с именем Log Decoder выберите Config > Explore.
  9. Укажите назначение.
    • Для RSA NetWitness версии 11.2 и более поздних:

      В параметре /decoder/config/logs.forwarding.destination укажите следующее назначение:

      cybertrace=tcp:[IP]:[port]:rfc3164

      Здесь [IP] — это IP-адрес сервера, на котором установлен Kaspersky CyberTrace Service, а [port] — это порт, который Kaspersky CyberTrace Service прослушивает для получения событий (по умолчанию используется порт 9999). IP-адрес и порт совпадают с указанными на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace.

    • Для более ранних версий RSA NetWitness, чем 11.2:
      1. В параметре /decoder/config/logs.forwarding.destination укажите следующее назначение:

        cybertrace=tcp:[IP]:[port]

        Здесь [IP] — это IP-адрес сервера, на котором установлен Kaspersky CyberTrace Service, а [port] — это порт, который Kaspersky CyberTrace Service прослушивает для получения событий (по умолчанию используется порт 9999). IP-адрес и порт совпадают с указанными на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace.

      2. Для параметра EventDelimeter в конфигурационном файле Kaspersky CyberTrace Service задайте значение <![CDATA[(\<\d+\>)]]>.

    Настройки пересылки событий журнала в RSA NetWitness.

    Настройки пересылки событий журнала

  10. Для параметра /decoder/config/logs.forwarding.enabled задайте значение true.

После выполнения этих действий RSA NetWitness будет пересылать события, удовлетворяющие правилу cybertrace, на адрес, указанный в параметре logs.forwarding.destination.

Дополнительные сведения о пересылке событий см. на странице https://community.rsa.com/t5/rsa-netwitness-platform-online/decoder-configure-syslog-forwarding-to-destination/ta-p/572084.

В начало