Шаг 4. Проверка работоспособности (QRadar)
11 апреля 2024
ID 167599
В этом разделе описывается порядок проверки возможностей Kaspersky CyberTrace с помощью проверки работоспособности.
Перед изменением каких-либо настроек процесса сопоставления необходимо выполнить проверку работоспособности.
Что такое проверка работоспособности
Проверка работоспособности — это процедура, позволяющая проверить возможности Kaspersky CyberTrace и убедиться в корректности интеграции.
В ходе проверки проверяется, поступают ли события из QRadar в Kaspersky CyberTrace Service, поступают ли события из Kaspersky CyberTrace Service в QRadar, и корректно ли проходит парсинг событий в Kaspersky CyberTrace Service с использованием регулярных выражений.
О файле для проверки работоспособности
Файл для проверки работоспособности — это файл, содержащий набор событий с URL, IP-адресами и хешами. Этот файл находится в комплекте поставки в каталоге ./verification
. Имя файла — kl_verification_test_leef.txt
.
Порядок проверки работоспособности
Для проверки работоспособности установленного программного обеспечения, выполните следующие действия:
- Убедитесь, что в QRadar добавлен источник журнала
KL_Verification_Tool
и правила маршрутизации настроены таким образом, что события изKL_Verification_Tool
отправляются в Kaspersky CyberTrace Service. - Откройте QRadar Console и выберите вкладку Log Activity.
- Добавьте фильтр:
- Нажмите на кнопку Add Filter.
- В раскрывающемся списке Parameter выберите
Log Source
. - В раскрывающемся списке Operator выберите
Equals
. - В группе Value в раскрывающемся списке Log Source выберите требуемое имя сервиса.
Добавление фильтра для просмотра событий
- Нажмите на кнопку Add Filter.
В разделе Current Filters отображается строка
Log Source is KL_Threat_Feed_Service_v2
. - В раскрывающемся списке View выберите
Real Time
, чтобы очистить область событий.Теперь можно просматривать информацию о сервисных событиях.
Просмотр отфильтрованной информации
- Отправьте файл
kl_verification_test_leef.txt
в QRadar с помощью Log Scanner, для этого выполните следующую команду:В ОС Linux:
./log_scanner -p ../verification/kl_verification_test_leef.txt
В ОС Windows:
log_scanner.exe -p ..\verification\kl_verification_test_leef.txt
Если в этой команде указан флаг
-r
, результаты проверки будут записаны в файл отчета Log Scanner. Если флаг-r
не указан, результаты проверки отправляются в решение SIEM с использованием настроек исходящих событий, заданных для Kaspersky CyberTrace Service.Ожидаемые результаты, которые должны отображаться в QRadar, зависят от используемых потоков данных об угрозах. Результаты проверки работоспособности приведены в следующей таблице.
Результаты проверки работоспособности
Используемый поток данных об угрозах
Обнаруженные объекты
Malicious URL Data Feed
http://fakess123.nu
http://badb86360457963b90faac9ae17578ed.com
Phishing URL Data Feed
http://fakess123ap.nu
http://e77716a952f640b42e4371759a661663.com
Botnet C&C URL Data Feed
http://fakess123bn.nu
http://a7396d61caffe18a4cffbb3b428c9b60.com
IP Reputation Data Feed
192.0.2.0
192.0.2.3
Malicious Hash Data Feed
FEAF2058298C1E174C2B79AFFC7CF4DF
44D88612FEA8A8F36DE82E1278ABB02F (EICAR Standard Anti-Virus Test File)
C912705B4BBB14EC7E78FA8B370532C9
Mobile Malicious Hash Data Feed
60300A92E1D0A55C7FDD360EE40A9DC1
Mobile Botnet C&C URL Data Feed
001F6251169E6916C455495050A3FB8D (MD5 hash)
http://sdfed7233dsfg93acvbhl.su/steallallsms.php (маска URL)
Ransomware URL Data Feed
http://fakess123r.nu
http://fa7830b4811fbef1b187913665e6733c.com
APT URL Data Feed
http://b046f5b25458638f6705d53539c79f62.com
APT Hash Data Feed
7A2E65A0F70EE0615EC0CA34240CF082
APT IP Data Feed
192.0.2.4
IoT URL Data Feed
http://e593461621ee0f9134c632d00bf108fd.com/.i
Demo Botnet C&C URL Data Feed
http://5a015004f9fc05290d87e86d69c4b237.com
http://fakess123bn.nu
Demo IP Reputation Data Feed
192.0.2.1
192.0.2.3
Demo Malicious Hash Data Feed
776735A8CA96DB15B422879DA599F474
FEAF2058298C1E174C2B79AFFC7CF4DF
44D88612FEA8A8F36DE82E1278ABB02F
ICS Hash Data Feed
7A8F30B40C6564EFF95E678F7C43346C
Просмотр событий из Kaspersky CyberTrace Service
Если фактические результаты проверки совпадают с ожидаемыми, интеграция Kaspersky CyberTrace Service с QRadar работает корректно.