Шаг 3. Пересылка событий из QRadar в Kaspersky CyberTrace Service
11 апреля 2024
ID 167582
Чтобы проверять события, поступающие в QRadar, через Kaspersky CyberTrace Service, необходимо настроить в QRadar пересылку событий в Kaspersky CyberTrace Service.
Чтобы пересылать события из QRadar в Kaspersky CyberTrace Service, выполните следующие действия:
- Выберите Admin > System Configuration > Forwarding Destinations > Add.
- В окне Forwarding Destination Properties введите идентификатор назначения (например,
«KL_Threat_Feed_Service_v2»
). - Введите адрес назначения (хост, на котором запущен Kaspersky CyberTrace Service).
- Выберите формат событий
Payload
и протоколTCP
.Формат
Payload
может содержать меньше информации по сравнению с форматомJSON
. Например, если используются имена источников событий, QRadar может удалять их из события. Вместо этого можно указать форматJSON
, однако его важно правильно настроить. Инструкция по настройке событий в форматеJSON
для пересылки в Kaspersky CyberTrace приведена в подразделе «Рекомендации по настройке событий в формате JSON» ниже. - Задайте порт в соответствии с параметрами входящих событий Kaspersky CyberTrace. Эта информация приведена на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace.
Добавление назначения пересылки
- Нажмите на кнопку Save.
- Выберите Admin > Routing rules > Add.
- В окне Routing Rule введите имя правила (например,
KL_Threat_Feed_Service_v2_Rule
). - Выберите режим
Online
. - Оставьте значение по умолчанию в раскрывающемся списке Forwarding Event Collector.
- Выберите
Events
в качестве источника данных. - В группе Event Filters задайте фильтр событий.
Выберите источники журналов вместе с
KL_Verification_Tool
и используйте операторEquals any of
в фильтре. Кроме того, для достижения максимальной производительности сервиса рекомендуется выбирать только те события, которые содержат индикаторы для поиска в потоках данных об угрозах (например, URL, хеши (MD5, SHA1, SHA256) и IP-адреса).Снимите или оставьте снятым флажок Match all incoming events, чтобы события обнаруженных киберугроз, полученные от Kaspersky CyberTrace Service, не отправлялись обратно в Kaspersky CyberTrace Service.
- Установите флажок Forward. В таблице рядом с столбцом Name установите флажок рядом с элементом, добавленным на шаге 1 (в данном случае это
KL_Threat_Feed_Service_v2
).Добавление правила маршрутизации
- Нажмите на кнопку Save.
Рекомендации по настройке событий в формате JSON
Некоторые версии QRadar (например, 7.3.2 Patch 6 и 7.4.0) могут отбрасывать некоторые пересылаемые события в формате JSON
, что может привести к некорректным результатам. Чтобы этого не происходило, рекомендуется исключить некоторые поля из события в формате JSON
(для получения полного списка таких полей обратитесь в службу поддержки IBM QRadar или попытайтесь определить этот список вручную). В веб-интерфейсе Kaspersky CyberTrace необходимо указать дополнительные правила нормализации (см. ниже).
Поэтому формат JSON
следует использовать вместо формата Payload
, если событие в формате Payload
не содержит необходимых полей. В таком случае следует убедиться, что выполняются следующие условия:
- В окне Forwarding Destination Properties выбраны только необходимые поля. QRadar не отбрасывает пересылаемые события. Чтобы включить или отключить поля, пересылаемые в рамках события, откройте окно Forwarding Profile Properties, нажав на кнопку рядом с полем Профиль.
Настройка событий в формате JSON
- На вкладке Settings > Matching веб-интерфейса Kaspersky CyberTrace заданы следующие правила нормализации:
Настройка дополнительных правил нормализации