您可以使用 kata-alert-export 实用程序获取可导入 GosSOPKA 系统的格式的 NDR 检测和事件数据。该实用程序包含在 Kaspersky Anti Targeted Attack Platform 分发包中。
对于每个 NDR 检测或事件,该实用程序都会创建一个单独的 XML 1.0 文件 (UTF-8),其中包含指定时间段内有关此检测或事件的信息。
为 GosSOPKA 准备检测数据
要准备要发送给 GosSOPKA 的检测数据,您只需运行该实用程序。
为 GosSOPKA 准备 NDR 事件数据
准备要发送到 GosSOPKA 系统的 NDR 事件数据涉及以下步骤:
创建一个一般类型的连接器并保存其通信数据包。
如果您使用的是分布式解决方案或多租户模式,则在创建连接器的说明的步骤 4c 中,您需要指定要从中接收数据的 PCN 或 SCN 服务器的 IP 地址。如果您想从多个 Central Node 服务器接收数据,则必须为每个服务器创建一个连接器。
如果中央节点组件被部署为集群,则可以在创建连接器时输入集群中任意服务器的 IP 地址。
在创建连接器的说明的第 4c 步中创建连接器时指定的 IP 地址的 Central Node 服务器上运行该实用程序。
记录 NDR 检测和事件数据时涉及的特殊注意事项
聚合警报被指定为根据 EXT 扫描结果注册的事件创建的警报的扫描技术。
页面顶部