Шаг 6. Создание поискового фильтра для событий Kaspersky CyberTrace

В этом разделе описывается порядок создания поиска событий.

Чтобы создать поиск событий, выполните следующие действия:

  1. Остановите поток событий, нажав кнопку Pause (Значок Pause в QRadar.) в правом верхнем углу окна.
  2. В QRadar Console перейдите на вкладку Log Activity.
  3. Выберите Search → New Search.

    Пункт меню New search в QRadar.

    Новый поиск

  4. В форме Column Definition добавьте MD5 (custom), SHA1 (custom), SHA256 (custom), URL (custom), IP (custom) из списка Available Columns в список Columns.

    Окно Column Definition в QRadar.

    Определение столбцов

  5. Прокрутите страницу вниз и в форме Search Parameters задайте KL_Threat_Feed_Service_v2 в качестве источника журналов:
    1. В раскрывающемся списке Parameter выберите Log Source [Indexed].
    2. В раскрывающемся списке Operator выберите Equals.
    3. В списке Log Source выберите KL_Threat_Feed_Service_v2.

      Вариант выбора KL_Threat_Feed_Service_v2 соответствует имени источника журналов, заданному в элементе OutputSettings > EventFormat и в элементе OutputSettings > AlertFormat конфигурационного файла Kaspersky CyberTrace Service (их также можно задать с помощью веб-интерфейса Kaspersky CyberTrace).

    4. Нажмите на кнопку Add Filter.

      В список Current Filters добавляется строка Log Source is KL_Threat_Feed_Service_v2.

    Окно Search Parameters в QRadar.

    Настройка источника журнала

  6. Нажмите кнопку Search, чтобы отобразить результат поиска.
  7. Нажмите на кнопку Save Criteria.

    Кнопки в QRadar. Кнопка Save Criteria.

    Кнопка Save Criteria

  8. В форме Save Criteria введите имя поиска в поле ввода Search Name, установите флажок Include in my Quick Searches, затем укажите анализируемый интервал для созданного поиска (например, Real Time).
  9. Нажмите на кнопку OK.

    Окно Save Criteria в QRadar.

    Сохранение критериев

В начало