Создание уведомлений о входящих сервисных событиях
Для создания уведомлений о входящих сервисных событиях Kaspersky CyberTrace можно настроить правила информационных сообщений.
Чтобы создать уведомления о сервисных событиях от Kaspersky CyberTrace в RSA NetWitness, выполните следующие действия:
- меню RSA NetWitness выберите Monitor > Reports, затем выберите Manage > Rules.
![Окно Manage → Rules в RSA NetWitness.](manage_rules_rsa.png)
Форма Manage > Rules
- В разделе Groups выберите CyberTrace_Rules.
![Правила CyberTrace в RSA NetWitness.](ct_rules_rsa.png)
Правила CyberTrace
- В разделе Rules нажмите на кнопку Add (
). В раскрывающемся списке выберите NetWitness Platform DB.Откроется окно Build Rule.
- В окне Build Rule укажите следующие настройки:
- В разделе Name укажите имя правила.
Указываемое имя может быть любым.
- В поле Summarize укажите значение, отличное от
None
, если требуется агрегировать события. - В поле Select укажите поля, которые содержат значения, используемые в уведомлениях.
В сервисных событиях Kaspersky CyberTrace использует поля msg и action.
- В поле where укажите условия уведомления. Например:
device.type='cybertrace' && action contains 'KL_ALERT'
Это условие содержит все сервисные события Kaspersky CyberTrace.
- При необходимости заполните остальные поля по своему усмотрению.
![Окно «Build Rule» в RSA NetWitness.](build_rule_window.png)
Окно Build Rule
- Нажмите на кнопку Test Rule, чтобы убедиться, что проверка указанных правил выполняется правильно.
![Окно «Test Rule» в RSA NetWitness.](test_rule_window.png)
Окно Test Rule
- Нажмите на кнопку Save, чтобы сохранить правило.
- Нажмите на кнопку Use и в открывшемся окне выберите Alert, затем Select.
![Окно «Use Rule» в RSA NetWitness.](use_rule_window.png)
Окно Use Rule
Откроется окно Create/Modify Alert.
- В окне Create/Modify Alert укажите следующие настройки:
![Окно «Create/Modify Alert» в RSA NetWitness.](create_modify_alert_window.png)
Окно Create/Modify Alert
- Нажмите Create, чтобы сохранить правило.
Правило добавляется в список Alert на вкладке Manage > Alerts.
- Чтобы просмотреть все предупреждения, удовлетворяющие созданному правилу, нажмите на кнопку View Alerts (
).
В начало