Как интегрировать потоки данных об угрозах «Лаборатории Касперского» с Micro Focus ArcSight
Для интеграции потоков данных об угрозах с Micro Focus ArcSight вы можете использовать Kaspersky CyberTrace или Kaspersky Threat Feed App для ArcSight ESM.
Kaspersky CyberTrace
С помощью Kaspersky CyberTrace вы можете проверять URL-адреса, хеши файлов и IP-адреса в событиях, поступающих в Micro Focus ArcSight ESM. URL-адреса, хеши файлов и IP-адреса сопоставляются с потоками данных об угрозах «Лаборатории Касперского», других вендоров или источников, загружаемых в Kaspersky CyberTrace. В процессе сопоставления Kaspersky CyberTrace определяет категорию индикатора и генерирует событие с информацией о том, какие меры необходимо принять.
Чтобы установить SIEM-приложение для Micro Focus ArcSight ESM:
- Скачайте установочный файл Kaspersky CyberTrace в статье.
- Следуйте инструкции по установке в справке.
Приложение для ArcSight будет установлено.
SIEM-приложение для ArcSight протестировано на ArcSight ESM версии 6.5 и выше.
Kaspersky Threat Feed App для ArcSight ESM
Kaspersky Threat Feed App для ArcSight ESM — приложение, которое сопоставляет события, полученные ArcSight ESM, с потоками данных об угрозах «Лаборатории Касперского», используя встроенные возможности SIEM (без Kaspersky CyberTrace).
Процесс импорта потоков данных об угрозах выполняется с помощью Kaspersky Feed Utility и скрипта kl_feed_for_arcsight.py. Потоки загружаются и конвертируются в формат, который можно импортировать в ArcSight ESM. Скрипт kl_feed_for_arcsight.py генерирует события в формате CEF и отправляет их в ArcSight SmartConnector, который отправляет их в ArcSight ESM. ArcSight ESM получает события от SmartConnector и заполняет списки индикаторами из потоков данных об угрозах в соответствии с правилами, содержащимися в Kaspersky_Threat_Data_Feeds.arb. После импорта потоков данных об угрозах в ArcSight ESM поля событий, поступающие в ArcSight ESM, сопоставляются с индикаторами из потоков в соответствии с правилами, содержащимися в Kaspersky_Threat_Data_Feeds.arb. Если поле соответствует записи потока, ArcSight ESM добавляет событие обнаружения в список активных.
Чтобы установить Kaspersky Threat Feed App для ArcSight ESM:
- Скачайте установочный файл в формате TGZ для Linux Kaspersky_ThreatDataFeed_for_ArcSight-1.1.tar.xz.
- Следуйте инструкции по установке в документе.
Kaspersky Threat Feed App для ArcSight ESM будет установлен.