Шаг 8 (необязательный). Создание уведомлений о входящих сервисных событиях

Для создания уведомлений о проблемах с Kaspersky CyberTrace можно настроить правила информационных сообщений.

Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в QRadar, выполните следующие действия:

  1. Запустите QRadar Console.
  2. Выберите любую из вкладок: Offenses, Log Activity или Network Activity, затем выберите Rules.
  3. В раскрывающемся списке Actions выберите New Event Rule.

    Страница правил в QRadar. Пункт меню New Event Rule.

    Страница Rules

    Откроется страница Rule Wizard.

  4. На странице Rule Wizard нажмите кнопку Next, чтобы выбрать источник, из которого требуется создать правило.

    Мастер Rule Wizard в QRadar. Выберите источник.

    Окно Rules Wizard

  5. Выберите Events, затем нажмите Next.
  6. На странице Rule Test Stack Editor выполните следующие действия:
    • Добавьте следующие тестовые условия для нового правила:
      • when the event(s) were detected by one or more of these log sources
      • when the event matches this search filter
    • Для каждого указанного условия задайте логический оператор and.
    • Для условия when the event(s) were detected by one or more of these log sources задайте источник журналов (Log Source) KL_Threat_Feed_Service_v2. Если этот источник событий отсутствует, добавьте Kaspersky CyberTrace Service в качестве источника журналов.
    • Для условия when the event matches this search filter задайте фильтр для сравнения имени события (Event Name) со значением имени источника событий, для этого выполните следующие действия:
      1. В списке полей событий выберите Event Name.
      2. В списке условий выберите Equals.
      3. Нажмите кнопку Browse и выберите имя сервисного события, для которого создается правило.

    Мастер Rule Wizard в QRadar. Добавьте фильтры.

    Добавление фильтров

    1. Нажмите на кнопку Add+, затем Submit.

      Если необходимое событие отсутствует, добавьте его в список идентификаторов QRadar Identifier (QID).

    • Введите имя правила и выберите способ применения этого правила к входящим событиям (Local или Global). Дополнительная информация о правилах Local и Global приведена в документации IBM.
    • Выберите группу, необходимую для правила.
    • Добавьте описание правила.

    Мастер Rule Wizard в QRadar. Rule Editor.

    Окно Rule Editor

    • Нажмите на кнопку Next.
  7. На странице Rule Response выполните следующие действия:
    • Выберите Notify.
    • При необходимости задайте ограничение на срабатывание правила в разделе Response Limiter.
    • Проверьте раздел Enable Rule.

    Мастер Rule Wizard в QRadar. Rule Response.

    Страница Rule Editor

    • Нажмите на кнопку Next.
  8. На странице Rule Summary убедитесь, что все настройки заданы правильно, и нажмите на кнопку Finish.

    Мастер Rule Wizard в QRadar. Rule summary.

    Страница Rule Summary

    Правило добавляется в список Rules.

    Список правил в QRadar.

    Список Rules

Добавленное правило генерирует уведомление о входящем сервисном событии. Для просмотра этих уведомлений можно нажать на раскрывающийся список Messages. Кроме того, уведомления отображаются в QRadar Console в виде всплывающих уведомлений.

Список сообщений в QRadar.

Раскрывающийся список Messages

Настроить отображение уведомлений можно на вкладке Dashboard.

Окно System Notifications в QRadar.

Системные уведомления на вкладке Dashboard

Чтобы настроить отображение уведомлений на вкладке Dashboard, выполните следующие действия:

  1. Выберите вкладку Dashboard.
  2. В раскрывающемся списке Add Item выберите System Notifications.

    Настройка системных уведомлений в QRadar.

    Добавление системных уведомлений на вкладку Dashboard

В начало