Шаг 7. Проверка работоспособности (RSA NetWitness)

После настройки Kaspersky CyberTrace и RSA NetWitness можно протестировать их работу.

Прежде чем редактировать какие-либо правила фильтрации в конфигурационном файле Feed Utility, следует обязательно выполнить проверку работоспособности.

Чтобы проверить правильность интеграции Kaspersky CyberTrace с RSA NetWitness, выполните следующие действия:

  1. Настройте Log Scanner для отправки событий на IP-адрес и порт, которые прослушивает Kaspersky CyberTrace Service.

    Для этого в элементе Connection конфигурационного файла Log Scanner укажите IP-адрес и порт, заданные для исходящих событий на вкладке Settings > Service в веб-интерфейсе Kaspersky CyberTrace.

  2. Отправьте файл kl_verification_test_cef.txt из каталога verification в Kaspersky CyberTrace Service с помощью Log Scanner.

    Для этого выполните следующую команду:

    В ОС Linux: ./log_scanner -p ../verification/kl_verification_test_cef.txt

    В ОС Windows: log_scanner.exe -p ..\verification\kl_verification_test_cef.txt

    Не указывайте в этой команде флаг -r — отправлять результаты проверки в SIEM-решение с использованием параметров для исходящих событий, указанных на вкладке Settings > Service в Kaspersky CyberTrace.

  3. Убедитесь, что полученные результаты проверки соответствуют следующей таблице.

    Результаты проверки можно просматривать так же, как и при просмотре событий Kaspersky CyberTrace Service в RSA NetWitness.

Результаты проверки работоспособности

Результаты проверки работоспособности зависят от используемых потоков данных об угрозах. Результаты проверки работоспособности приведены в следующей таблице.

Результаты проверки работоспособности

Используемый поток данных об угрозах

Обнаруженные объекты

Malicious URL Data Feed

http://fakess123.nu

http://badb86360457963b90faac9ae17578ed.com

Phishing URL Data Feed

http://fakess123ap.nu

http://e77716a952f640b42e4371759a661663.com

Botnet C&C URL Data Feed

http://fakess123bn.nu

http://a7396d61caffe18a4cffbb3b428c9b60.com

IP Reputation Data Feed

192.0.2.0

192.0.2.3

Malicious Hash Data Feed

FEAF2058298C1E174C2B79AFFC7CF4DF

44D88612FEA8A8F36DE82E1278ABB02F (EICAR Standard Anti-Virus Test File)

C912705B4BBB14EC7E78FA8B370532C9

Mobile Malicious Hash Data Feed

60300A92E1D0A55C7FDD360EE40A9DC1

Mobile Botnet C&C URL Data Feed

001F6251169E6916C455495050A3FB8D (MD5 hash)

sdfed7233dsfg93acvbhl.su/steallallsms.php (URL mask)

Ransomware URL Data Feed

http://fakess123r.nu

http://fa7830b4811fbef1b187913665e6733c.com

APT URL Data Feed

http://b046f5b25458638f6705d53539c79f62.com

APT Hash Data Feed

7A2E65A0F70EE0615EC0CA34240CF082

APT IP Data Feed

192.0.2.4

IoT URL Data Feed

http://e593461621ee0f9134c632d00bf108fd.com/.i

Demo Botnet C&C URL Data Feed

http://5a015004f9fc05290d87e86d69c4b237.com

http://fakess123bn.nu

Demo IP Reputation Data Feed

192.0.2.1

192.0.2.3

Demo Malicious Hash Data Feed

776735A8CA96DB15B422879DA599F474

FEAF2058298C1E174C2B79AFFC7CF4DF

44D88612FEA8A8F36DE82E1278ABB02F

ICS Hash Data Feed

7A8F30B40C6564EFF95E678F7C43346C

В начало