Вы можете получить данные обнаружений и событий NDR в формате, допустимом для импорта в систему ГосСОПКА, с помощью утилиты kata-alert-export. Утилита входит в комплект поставки Kaspersky Anti Targeted Attack Platform.
В результате работы утилиты для каждого обнаружения и события NDR создаются отдельные файлы формата XML версии 1.0 (кодировка UTF-8) с данными об этом обнаружении или событии за указанный период времени.
Подготовка данных обнаружений для передачи в систему ГосСОПКА
Для подготовки данных обнаружений, которые вы хотите передать в систему ГосСОПКА, достаточно запустить утилиту.
Подготовка данных событий NDR для передачи в систему ГосСОПКА
Процесс подготовки данных событий NDR для передачи в систему ГосСОПКА состоит из следующих этапов:
Создайте коннектор типа Generic и сохраните файл свертки для него.
Если вы используете режим распределенного решения или мультитенантности, на шаге 4c инструкции по созданию коннектора вам нужно указать IP-адрес того сервера PCN или SCN, с которого вы хотите получить данные. Если вы хотите получить данные с нескольких серверов Central Node, вам нужно создать коннектор для каждого из этих серверов.
Если компонент Central Node развернут в виде кластера, при создании коннектора вы можете указать IP-адрес любого сервера кластера.
Запустите утилиту на сервере Central Node, IP-адрес которого вы указали при создании коннектора на шаге 4c инструкции по созданию коннектора.
Особенности записи данных о событиях NDR и обнаружениях
Для обнаружений, которые создаются на основе событий, зарегистрированных в результате проверки технологией EXT, в качестве технологии проверки указывается Aggregated Alerts.
В начало