Шаг 5. Получение свойств пользовательского события
11 апреля 2024
ID 167603
В этом разделе описывается порядок настройки извлечения из исходящих событий Kaspersky CyberTrace пользовательских свойств событий в дополнение к стандартным полям. В результате настройки выполняется извлечение хешей MD5, SHA1 и SHA256, а правило извлечения «Source IP» переопределяется.
Чтобы настроить получение пользовательских свойств события, выполните следующие действия:
- Выберите вкладку Log Activity и нажмите на кнопку Add Filter.
Откроется форма Add Filter.
- Заполните эту форму:
- В раскрывающемся списке Parameter выберите
Log Source [Indexed]
. - В раскрывающемся списке Operator выберите
Equals
. - В списке Log Source выберите
KL_Threat_Feed_Service_v2
.Вариант выбора
KL_Threat_Feed_Service_v2
соответствует имени источника журналов, заданному в элементеOutputSettings > EventFormat
и в элементеOutputSettings > AlertFormat
конфигурационного файла Kaspersky CyberTrace Service (их также можно задать с помощью веб-интерфейса Kaspersky CyberTrace).
Добавление фильтра
- В раскрывающемся списке Parameter выберите
- Нажмите на кнопку Add Filter.
- Запустите проверку работоспособности, затем остановите поток событий, нажав кнопку Pause () в правом верхнем углу окна.
- Выберите несколько записей, удерживая клавишу Ctrl (или Shift), затем выберите Actions > DSM editor.
Окно Log Activity
Откроется окно DSM Editor.
Окно DSM Editor
- В окне DSM Editor нажмите кнопку + рядом с полем ввода Filters.
Откроется форма Choose a Custom Property Definition to Express.
Выбор пользовательского свойства
- Нажмите на кнопку Create new.
Откроется форма Create a new Custom Property Definition.
- Заполните эту форму:
- В поле Name введите
MD5
. - В раскрывающемся списке Field Type выберите
Text
. - В поле Description введите описание свойства.
- Установите флажок Enable this Property for Use in Rules and Search Indexing.
- Нажмите на кнопку Save.
Создание нового определения пользовательского свойства
- В поле Name введите
- Аналогичным образом добавьте свойства
SHA1
иSHA256
. - В окне Choose a Custom Property Definition to Express выберите созданные свойства, добавьте «URL» и «Source IP», затем нажмите кнопку Select.
- В разделе Log Activity Preview нажмите Configure и выберите следующие свойства:
Event Name
IP (custom)
MD5 (custom)
SHA1 (custom)
SHA256 (custom)
Source IP
URL (custom)
Username
Нажмите на кнопку Update.
Настройка столбцов предварительного просмотра
- На вкладке Properties настройте регулярные выражения, как описано в таблице ниже:
Пользовательское свойство
Регулярное выражение
MD5
md5=([\da-fA-F]{32})
SHA1
sha1=([\da-fA-F]{40})
SHA256
sha256=([\da-fA-F]{64})
URL
url=([-a-zA-Z0-9()@:%_\+.~#?&\/\/=]{2,})
Source IP
src=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
Если необходимо, введите
1
в поле Capture Group. - Для свойства Source IP установите флажок Override system behavior.
Настройка «Source IP»
При изменении формата исходящих событий обнаруженных киберугроз в Kaspersky CyberTrace указанные выше регулярные выражения могут потребовать соответствующих изменений.
Если все вышеперечисленные настройки заданы правильно, настроенные пользовательские свойства отображаются в разделе Log Activity Preview.
- Нажмите кнопку Save и закройте окно.
- На вкладке Log Activity выполните новую проверку работоспособности.
После этого при открытии события, полученного от
KL_Threat_Feed_Service_v2
, будут отображаться настроенные пользовательские свойства.Информация о событии