Шаг 3. Пересылка событий из QRadar в Kaspersky CyberTrace Service

Чтобы проверять события, поступающие в QRadar, через Kaspersky CyberTrace Service, необходимо настроить в QRadar пересылку событий в Kaspersky CyberTrace Service.

Чтобы пересылать события из QRadar в Kaspersky CyberTrace Service, выполните следующие действия:

1. Выберите Admin > System Configuration > Forwarding Destinations > Add.
2. В окне Forwarding Destination Properties введите идентификатор назначения (например, «KL_Threat_Feed_Service_v2»).
3. Введите адрес назначения (хост, на котором запущен Kaspersky CyberTrace Service).
4. Выберите формат событий Payload и протокол TCP.

   Формат Payload может содержать меньше информации по сравнению с форматом JSON. Например, если используются имена источников событий, QRadar может удалять их из события. Вместо этого можно указать формат JSON, однако его важно правильно настроить. Инструкция по настройке событий в формате JSON для пересылки в Kaspersky CyberTrace приведена в подразделе «Рекомендации по настройке событий в формате JSON» ниже.

5. Задайте порт в соответствии с параметрами входящих событий Kaspersky CyberTrace. Эта информация приведена на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace.

   

   Добавление назначения пересылки

6. Нажмите на кнопку Save.
7. Выберите Admin > Routing rules > Add.
8. В окне Routing Rule введите имя правила (например, KL_Threat_Feed_Service_v2_Rule).
9. Выберите режим Online.
10. Оставьте значение по умолчанию в раскрывающемся списке Forwarding Event Collector.
11. Выберите Events в качестве источника данных.
12. В группе Event Filters задайте фильтр событий.

    Выберите источники журналов вместе с KL_Verification_Tool и используйте оператор Equals any of в фильтре. Кроме того, для достижения максимальной производительности сервиса рекомендуется выбирать только те события, которые содержат индикаторы для поиска в потоках данных об угрозах (например, URL, хеши (MD5, SHA1, SHA256) и IP-адреса).

    Снимите или оставьте снятым флажок Match all incoming events, чтобы события обнаруженных киберугроз, полученные от Kaspersky CyberTrace Service, не отправлялись обратно в Kaspersky CyberTrace Service.

13. Установите флажок Forward. В таблице рядом с столбцом Name установите флажок рядом с элементом, добавленным на шаге 1 (в данном случае это KL_Threat_Feed_Service_v2).

    

    Добавление правила маршрутизации

14. Нажмите на кнопку Save.

Рекомендации по настройке событий в формате JSON

Некоторые версии QRadar (например, 7.3.2 Patch 6 и 7.4.0) могут отбрасывать некоторые пересылаемые события в формате JSON, что может привести к некорректным результатам. Чтобы этого не происходило, рекомендуется исключить некоторые поля из события в формате JSON (для получения полного списка таких полей обратитесь в службу поддержки IBM QRadar или попытайтесь определить этот список вручную). В веб-интерфейсе Kaspersky CyberTrace необходимо указать дополнительные правила нормализации (см. ниже).

Поэтому формат JSON следует использовать вместо формата Payload, если событие в формате Payload не содержит необходимых полей. В таком случае следует убедиться, что выполняются следующие условия:

• В окне Forwarding Destination Properties выбраны только необходимые поля. QRadar не отбрасывает пересылаемые события. Чтобы включить или отключить поля, пересылаемые в рамках события, откройте окно Forwarding Profile Properties, нажав на кнопку рядом с полем Профиль.

  

  Настройка событий в формате JSON

• На вкладке Settings > Matching веб-интерфейса Kaspersky CyberTrace заданы следующие правила нормализации:

  

  Настройка дополнительных правил нормализации