Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с QRadar

Стандартная интеграция (QRadar)

Шаг 4. Проверка работоспособности (QRadar)

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Шаг 4. Проверка работоспособности (QRadar)

11 апреля 2024

ID 167599

В этом разделе описывается порядок проверки возможностей Kaspersky CyberTrace с помощью проверки работоспособности.

Перед изменением каких-либо настроек процесса сопоставления необходимо выполнить проверку работоспособности.

Что такое проверка работоспособности

Проверка работоспособности — это процедура, позволяющая проверить возможности Kaspersky CyberTrace и убедиться в корректности интеграции.

В ходе проверки проверяется, поступают ли события из QRadar в Kaspersky CyberTrace Service, поступают ли события из Kaspersky CyberTrace Service в QRadar, и корректно ли проходит парсинг событий в Kaspersky CyberTrace Service с использованием регулярных выражений.

О файле для проверки работоспособности

Файл для проверки работоспособности — это файл, содержащий набор событий с URL, IP-адресами и хешами. Этот файл находится в комплекте поставки в каталоге ./verification. Имя файла — kl_verification_test_leef.txt.

Порядок проверки работоспособности

Для проверки работоспособности установленного программного обеспечения, выполните следующие действия:

  1. Убедитесь, что в QRadar добавлен источник журнала KL_Verification_Tool и правила маршрутизации настроены таким образом, что события из KL_Verification_Tool отправляются в Kaspersky CyberTrace Service.
  2. Откройте QRadar Console и выберите вкладку Log Activity.
  3. Добавьте фильтр:
    1. Нажмите на кнопку Add Filter.
    2. В раскрывающемся списке Parameter выберите Log Source.
    3. В раскрывающемся списке Operator выберите Equals.
    4. В группе Value в раскрывающемся списке Log Source выберите требуемое имя сервиса.

    Окно Add Filter в QRadar.

    Добавление фильтра для просмотра событий

    1. Нажмите на кнопку Add Filter.

    В разделе Current Filters отображается строка Log Source is KL_Threat_Feed_Service_v2.

  4. В раскрывающемся списке View выберите Real Time, чтобы очистить область событий.

    Теперь можно просматривать информацию о сервисных событиях.

    Просмотр отфильтрованной информации в QRadar.

    Просмотр отфильтрованной информации

  5. Отправьте файл kl_verification_test_leef.txt в QRadar с помощью Log Scanner, для этого выполните следующую команду:

    В ОС Linux: ./log_scanner -p ../verification/kl_verification_test_leef.txt

    В ОС Windows: log_scanner.exe -p ..\verification\kl_verification_test_leef.txt

    Если в этой команде указан флаг -r, результаты проверки будут записаны в файл отчета Log Scanner. Если флаг -r не указан, результаты проверки отправляются в решение SIEM с использованием настроек исходящих событий, заданных для Kaspersky CyberTrace Service.

    Ожидаемые результаты, которые должны отображаться в QRadar, зависят от используемых потоков данных об угрозах. Результаты проверки работоспособности приведены в следующей таблице.

    Результаты проверки работоспособности

    Используемый поток данных об угрозах

    Обнаруженные объекты

    Malicious URL Data Feed

    http://fakess123.nu

    http://badb86360457963b90faac9ae17578ed.com

    Phishing URL Data Feed

    http://fakess123ap.nu

    http://e77716a952f640b42e4371759a661663.com

    Botnet C&C URL Data Feed

    http://fakess123bn.nu

    http://a7396d61caffe18a4cffbb3b428c9b60.com

    IP Reputation Data Feed

    192.0.2.0

    192.0.2.3

    Malicious Hash Data Feed

    FEAF2058298C1E174C2B79AFFC7CF4DF

    44D88612FEA8A8F36DE82E1278ABB02F (EICAR Standard Anti-Virus Test File)

    C912705B4BBB14EC7E78FA8B370532C9

    Mobile Malicious Hash Data Feed

    60300A92E1D0A55C7FDD360EE40A9DC1

    Mobile Botnet C&C URL Data Feed

    001F6251169E6916C455495050A3FB8D (MD5 hash)

    http://sdfed7233dsfg93acvbhl.su/steallallsms.php (маска URL)

    Ransomware URL Data Feed

    http://fakess123r.nu

    http://fa7830b4811fbef1b187913665e6733c.com

    APT URL Data Feed

    http://b046f5b25458638f6705d53539c79f62.com

    APT Hash Data Feed

    7A2E65A0F70EE0615EC0CA34240CF082

    APT IP Data Feed

    192.0.2.4

    IoT URL Data Feed

    http://e593461621ee0f9134c632d00bf108fd.com/.i

    Demo Botnet C&C URL Data Feed

    http://5a015004f9fc05290d87e86d69c4b237.com

    http://fakess123bn.nu

    Demo IP Reputation Data Feed

    192.0.2.1

    192.0.2.3

    Demo Malicious Hash Data Feed

    776735A8CA96DB15B422879DA599F474

    FEAF2058298C1E174C2B79AFFC7CF4DF

    44D88612FEA8A8F36DE82E1278ABB02F

    ICS Hash Data Feed

    7A8F30B40C6564EFF95E678F7C43346C

    Список событий в QRadar.

    Просмотр событий из Kaspersky CyberTrace Service

Если фактические результаты проверки совпадают с ожидаемыми, интеграция Kaspersky CyberTrace Service с QRadar работает корректно.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!