Поддержка

Поддержка приложений для бизнеса

Kaspersky Threat Data Feeds
Потоки данных об угрозах
База знаний
FAQ Форум Запрос в поддержку Утилиты для лечения Видео о продуктах
 
 

Как интегрировать потоки данных об угрозах «Лаборатории Касперского» с Micro Focus ArcSight

Статья обновлена: 11 апреля 2023 ID: 13852
 
 
 
 

Для интеграции потоков данных об угрозах с Micro Focus ArcSight вы можете использовать Kaspersky CyberTrace или Kaspersky Threat Feed App для ArcSight ESM.

Kaspersky CyberTrace

С помощью Kaspersky CyberTrace вы можете проверять URL-адреса, хеши файлов и IP-адреса в событиях, поступающих в Micro Focus ArcSight ESM. URL-адреса, хеши файлов и IP-адреса сопоставляются с потоками данных об угрозах «Лаборатории Касперского», других вендоров или источников, загружаемых в Kaspersky CyberTrace. В процессе сопоставления Kaspersky CyberTrace определяет категорию индикатора и генерирует событие с информацией о том, какие меры необходимо принять.

Чтобы установить SIEM-приложение для Micro Focus ArcSight ESM:

  1. Скачайте установочный файл Kaspersky CyberTrace в статье.
  2. Следуйте инструкции по установке в справке.

Приложение для ArcSight будет установлено.

SIEM-приложение для ArcSight протестировано на ArcSight ESM версии 6.5 и выше.

Kaspersky Threat Feed App для ArcSight ESM

Kaspersky Threat Feed App для ArcSight ESM — приложение, которое сопоставляет события, полученные ArcSight ESM, с потоками данных об угрозах «Лаборатории Касперского», используя встроенные возможности SIEM (без Kaspersky CyberTrace).

Процесс импорта потоков данных об угрозах выполняется с помощью Kaspersky Feed Utility и скрипта kl_feed_for_arcsight.py. Потоки загружаются и конвертируются в формат, который можно импортировать в ArcSight ESM. Скрипт kl_feed_for_arcsight.py генерирует события в формате CEF и отправляет их в ArcSight SmartConnector, который отправляет их в ArcSight ESM. ArcSight ESM получает события от SmartConnector и заполняет списки индикаторами из потоков данных об угрозах в соответствии с правилами, содержащимися в Kaspersky_Threat_Data_Feeds.arb. После импорта потоков данных об угрозах в ArcSight ESM поля событий, поступающие в ArcSight ESM, сопоставляются с индикаторами из потоков в соответствии с правилами, содержащимися в Kaspersky_Threat_Data_Feeds.arb. Если поле соответствует записи потока, ArcSight ESM добавляет событие обнаружения в список активных.

Чтобы установить Kaspersky Threat Feed App для ArcSight ESM:

  1. Скачайте установочный файл в формате TGZ для Linux Kaspersky_ThreatDataFeed_for_ArcSight-1.1.tar.xz.
  2. Следуйте инструкции по установке в документе.

Kaspersky Threat Feed App для ArcSight ESM будет установлен.

 
 
 
 
 
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!