Шаг 4. Проверка работоспособности (ArcSight)
11 апреля 2024
ID 167570
После установки Kaspersky CyberTrace и необходимого программного обеспечения ArcSight можно протестировать их работу.
Прежде чем редактировать какие-либо правила фильтрации в конфигурационном файле Feed Utility, следует обязательно выполнить проверку работоспособности.
Чтобы проверить, правильно ли Kaspersky CyberTrace интегрирован с ArcSight, выполните следующие действия:
- Настройте Log Scanner для отправки событий в ArcSight SmartConnector.
Для этого настройте хост и порт ArcSight SmartConnector в элементе
Connectionконфигурационного файла Log Scanner. - Отправьте файл
%service_dir%/verification/kl_verification_test_cef.txtв ArcSight SmartConnector.Для этого выполните следующую команду (в Linux):
./log_scanner -p ../verification/kl_verification_test_cef.txtДля этого выполните следующую команду (в Windows):
log_scanner.exe -p ..\verification\kl_verification_test_cef.txtНе указывайте в этой команде флаг
-r— отправлять результаты проверки в SIEM-решение с использованием параметров для исходящих событий, указанных в разделе Service настроек Kaspersky CyberTrace. - Убедитесь, что полученные результаты проверки соответствуют приведенным ниже.
С результатами проверки можно ознакомиться в активном канале CyberTrace all matches. Для этого задайте следующий встраиваемый фильтр для поля Source Service Name:
Kaspersky Lab|CyberTrace Verification Kit.
Результаты проверки работоспособности
Результаты проверки работоспособности зависят от используемых потоков данных об угрозах. Результаты проверки работоспособности приведены в следующей таблице.
Результаты проверки работоспособности
Используемый поток данных об угрозах | Обнаруженные объекты |
Malicious URL Data Feed | http://fakess123.nu http://badb86360457963b90faac9ae17578ed.com |
Phishing URL Data Feed | http://fakess123ap.nu http://e77716a952f640b42e4371759a661663.com |
Botnet C&C URL Data Feed | http://fakess123bn.nu http://a7396d61caffe18a4cffbb3b428c9b60.com |
IP Reputation Data Feed | 192.0.2.0 192.0.2.3 |
Malicious Hash Data Feed | FEAF2058298C1E174C2B79AFFC7CF4DF 44D88612FEA8A8F36DE82E1278ABB02F (EICAR Standard Anti-Virus Test File) C912705B4BBB14EC7E78FA8B370532C9 |
Mobile Malicious Hash Data Feed | 60300A92E1D0A55C7FDD360EE40A9DC1 |
Mobile Botnet C&C URL Data Feed | 001F6251169E6916C455495050A3FB8D (MD5 hash) sdfed7233dsfg93acvbhl.su/steallallsms.php (URL mask) |
Ransomware URL Data Feed | http://fakess123r.nu http://fa7830b4811fbef1b187913665e6733c.com |
APT URL Data Feed | http://b046f5b25458638f6705d53539c79f62.com |
APT Hash Data Feed | 7A2E65A0F70EE0615EC0CA34240CF082 |
APT IP Data Feed | 192.0.2.4 |
IoT URL Data Feed | http://e593461621ee0f9134c632d00bf108fd.com/.i |
Demo Botnet C&C URL Data Feed | http://5a015004f9fc05290d87e86d69c4b237.com http://fakess123bn.nu |
Demo IP Reputation Data Feed | 192.0.2.1 192.0.2.3 |
Demo Malicious Hash Data Feed | 776735A8CA96DB15B422879DA599F474 FEAF2058298C1E174C2B79AFFC7CF4DF 44D88612FEA8A8F36DE82E1278ABB02F |
ICS Hash Data Feed | 7A8F30B40C6564EFF95E678F7C43346C |
