EventSettings

Содержит настройки исходящих оповещений, которые отправляет Kaspersky CyberTrace.

Путь

Domains > Domain > OutputSettings > EventSettings

Атрибуты

У этого элемента нет атрибутов.

Вложенные элементы

Чтобы указать значения элемента EventFormat и ActionableFieldContextFormat, может потребоваться ознакомление с дополнительной информацией о шаблонах формата оповещений.

Этот элемент является контейнером для следующих вложенных элементов:

• EventFormat

  Задает формат исходящих оповещений.

  Этот элемент является обязательным.

• SendEventFilters

  Содержит правила фильтрации оповещений об обнаружении индикаторов компрометации из Kaspersky CyberTrace. Можно задать несколько правил фильтрации одновременно.

• ActionableFieldContextFormat

  Определяет, каким образом к оповещению должны добавляться поля контекста.

  Этот элемент является обязательным.

• FinishedEventFormat

  Задает формат оповещения, создаваемого для каждого обработанного события.

  Этот элемент является обязательным.

  Дополнительные сведения об этом элементе приведены в подразделе «EventSettings > FinishedEventFormat» ниже.

EventSettings > FinishedEventFormat

Задает формат оповещения, которое генерируется после обработки события.

Если этот параметр включен, Kaspersky CyberTrace генерирует оповещение для каждого обрабатываемого события. Оповещение генерируется, даже если обнаружений киберугроз не было.

Этот элемент является обязательным.

Значение этого элемента задает формат оповещения. В формате можно использовать шаблон %RecordContext% и имена регулярных выражений.

Если используется шаблон %RecordContext%, он предоставляет следующие поля:

• category

  Для оповещений данного типа это LookupFinished.

• sent_events

  Количество оповещений, отправленных в SIEM-систему.

• total

  Конкатенация следующих подстрок, сформированных для каждой категории, отнесенной к оповещениям об обнаружении индикаторов компрометации:

  <category>:<number_of_detections>;

  Если обнаружений не было, значением параметра sent_events является 0, а значением параметра total является пустая строка.

У этого элемента есть следующие атрибуты:

Атрибуты элемента «FinishedEventFormat»

Атрибут	Описание
enabled	Определяет, генерируются ли специальные оповещения. Возможные значения: true, false. Если значение равно true, сервис Kaspersky CyberTrace генерирует специальные оповещения. Если значение равно false или этот атрибут не указан, сервис Kaspersky CyberTrace не генерирует специальные оповещения. Этот атрибут не является обязательным.

Пример

Ниже приведен пример этого элемента.

<EventSettings> <EventFormat>%RE_DATE% category=%Category% matchedIndicator=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME%%RecordContext%</EventFormat> <SendEventFilters> ... </SendEventFilters> <ActionableFieldContextFormat><![CDATA[ %ParamName%:%ParamValue%]]></ActionableFieldContextFormat> <FinishedEventFormat enabled="true">LookupFinished %RecordContext%</FinishedEventFormat> </EventSettings>

В начало