Парсинг событий службы Kaspersky CyberTrace в McAfee Enterprise Security Manager

В этом разделе описано, как выполнять парсинг событий службы Kaspersky CyberTrace, имеющих следующий формат:

Kaspersky CyberTrace Service Event| date=%Date% alert=%Alert% msg:%RecordContext%

Обратите внимание, что при изменении формата событий службы необходимо изменить правила парсинга событий службы в McAfee Enterprise Security Manager.

Для парсинга события службы введите следующие данные в диалоговом окне Advanced Syslog Parser Rule:

  1. В главном окне McAfee Enterprise Security Manager нажмите Configuration.
  2. В дереве Physical Display выберите устройство-получатель и нажмите Add Data Source.

    Кнопка Add Data Source в McAfee.

    Добавление источника данных

    Откроется диалоговое окно Add Data Source.

  3. В диалоговом окне Add Data Source введите следующие данные:
    • Data Source Vendor: Generic
    • Data Source Model: Advanced Syslog Parser
    • Data Format: Default
    • Data Retrieval: SYSLOG (Default)
    • Enabled: Parsing
    • Имя: Kaspersky CyberTrace
    • IP: IP-адрес сервера, с которого Kaspersky CyberTrace будет отправлять события.
    • Syslog Relay: None
    • Mask: 0
    • Require syslog TLS: снят
    • Port: 514
    • Support Generic Syslogs: Log "unknown syslog" event

      McAfee Enterprise Security Manager получает все события из Kaspersky CyberTrace. Если McAfee Enterprise Security Manager не может выполнить парсинг события, оно отображается как неизвестное.

    • Time Zone: выберите нужный часовой пояс
    • Encoding: None

    Окно Edit Data Source в McAfee.

    Конфигурация источника данных

  4. (Необязательно) Нажмите Advanced, чтобы указать параметры источника данных в диалоговом окне Advanced options.
  5. Нажмите на кнопку OK.

    McAfee ESM предложит развернуть установленную политику.

    Окно развертывания в McAfee.

    Диалоговое окно развертывания

  6. Выберите Kaspersky CyberTrace, а затем нажмите кнопку Policy Editor на панели инструментов.

    Кнопка Policy Editor в McAfee.

    Выбор в Policy Editor

  7. В окне Policy Editor выберите тип правил Advanced Syslog Parser Rules.
  8. Нажмите NewAdvanced Syslog Parser Rule.

    Пункт меню New → Advanced Syslog Parser Rule в McAfee.

    Окно Policy Editor

  9. Чтобы создать парсер для анализа событий обновления потока данных, введите следующие данные в диалоговом окне Advanced Syslog Parser Rule:
    • На вкладке General введите следующие данные:
      • Name: Kaspersky_CyberTrace_ServiceEvent
      • Tags: выберите теги, определяющие правило (они будут использоваться при фильтрации событий)
      • Rule Assignment Type: User Defined 1 или другой определяемый пользователем тип
      • Description: событие службы Kaspersky Lab CyberTrace
    • На вкладке Parsing введите следующие данные:
      • Provide content strings: событие службы Kaspersky CyberTrace
      • Sample Log Data: предоставьте пример события обновления потока данных. Например (в одну строку, без символов новой строки):

        Kaspersky CyberTrace Service Event| date=Apr 17 19:08:28 alert=KL_ALERT_UpdatedFeed msg:feed=Demo_Botnet_CnC_URL_Data_Feed.json records=3907

      • Добавьте следующие регулярные выражения на вкладке Parsing:

    Имя

    Регулярное выражение

    ct_service_name

    alert\=(\S+)(?=\s)

    ct_context

    (msg.*)(?=$)

    ct_date

    date\=(\S+\s\d+\s\S+)

    Вкладка Parsing в McAfee.

    Вкладка Parsing

    • На вкладке Field Assignment введите следующие данные:

    Поле

    Выражение

    Action

    "0"

    Описание

    Перетащите ct_context в это поле

    Severity

    "60" или другое значение по вашему выбору

    Return_Code

    Перетащите ct_service_name в это поле

    First Time

    Перетащите ct_date в это поле

    Вкладка Field Assignment в McAfee.

    Вкладка Field Assignment

    Вы можете добавить другие поля, нажав на кнопку +.

    • На вкладке Mapping введите следующие данные:
      • В таблице временных данных:

    Формат времени

    Поля времени

    %b %d %H:%M:%S

    First Time
    • В таблице действий:

    Ключ действия

    Значение действия

    0

    Success
    • В таблице важности:

    Ключ важности

    Значение важности

    60

    60

    Вкладка Mapping в McAfee.

    Вкладка Mapping

  10. Нажмите Finish, чтобы сохранить политику.
  11. В списке Default Policy выберите устройство Kaspersky CyberTrace, а затем включите правило Kaspersky_CyberTrace_ServiceEvent.

    Пункт контекстного меню Enabled в McAfee.

    Включение правила

  12. Выберите File > Save, чтобы сохранить текущее состояние.
  13. Выберите Operations > Rollout, чтобы развернуть политику.

    Пункт меню Operations → Rollout в McAfee.

    Развертывание политики

  14. В ответ на запрос согласитесь на повторную инициализацию устройства Kaspersky CyberTrace в McAfee ESM.
  15. Выберите пункт меню Operations > Modify Aggregation Settings, чтобы изменить правила агрегирования событий службы Kaspersky CyberTrace.
  16. В окне Modify Aggregation Settings в поле Field 2 задайте значение Return_Code и нажмите кнопку OK.

    Окно Modify Aggregation Settings в McAfee.

    Modify Aggregation Settings

  17. Подтвердите запрос на развертывание.
В начало