Шаг 5. Получение свойств пользовательского события

В этом разделе описывается порядок настройки извлечения из исходящих событий Kaspersky CyberTrace пользовательских свойств событий в дополнение к стандартным полям. В результате настройки выполняется извлечение хешей MD5, SHA1 и SHA256, а правило извлечения «Source IP» переопределяется.

Чтобы настроить получение пользовательских свойств события, выполните следующие действия:

1. Выберите вкладку Log Activity и нажмите на кнопку Add Filter.

   Откроется форма Add Filter.

2. Заполните эту форму:
   1. В раскрывающемся списке Parameter выберите Log Source [Indexed].
   2. В раскрывающемся списке Operator выберите Equals.
   3. В списке Log Source выберите KL_Threat_Feed_Service_v2.

      Вариант выбора KL_Threat_Feed_Service_v2 соответствует имени источника журналов, заданному в элементе OutputSettings > EventFormat и в элементе OutputSettings > AlertFormat конфигурационного файла Kaspersky CyberTrace Service (их также можно задать с помощью веб-интерфейса Kaspersky CyberTrace).

   

   Добавление фильтра

3. Нажмите на кнопку Add Filter.
4. Запустите проверку работоспособности, затем остановите поток событий, нажав кнопку Pause () в правом верхнем углу окна.
5. Выберите несколько записей, удерживая клавишу Ctrl (или Shift), затем выберите Actions > DSM editor.

   

   Окно Log Activity

   Откроется окно DSM Editor.

   

   Окно DSM Editor

6. В окне DSM Editor нажмите кнопку + рядом с полем ввода Filters.

   Откроется форма Choose a Custom Property Definition to Express.

   

   Выбор пользовательского свойства

7. Нажмите на кнопку Create new.

   Откроется форма Create a new Custom Property Definition.

8. Заполните эту форму:
   1. В поле Name введите MD5.
   2. В раскрывающемся списке Field Type выберите Text.
   3. В поле Description введите описание свойства.
   4. Установите флажок Enable this Property for Use in Rules and Search Indexing.
   5. Нажмите на кнопку Save.

   

   Создание нового определения пользовательского свойства

9. Аналогичным образом добавьте свойства SHA1 и SHA256.
10. В окне Choose a Custom Property Definition to Express выберите созданные свойства, добавьте «URL» и «Source IP», затем нажмите кнопку Select.
11. В разделе Log Activity Preview нажмите Configure и выберите следующие свойства:
    • Event Name
    • IP (custom)
    • MD5 (custom)
    • SHA1 (custom)
    • SHA256 (custom)
    • Source IP
    • URL (custom)
    • Username

    Нажмите на кнопку Update.

    

    Настройка столбцов предварительного просмотра

12. На вкладке Properties настройте регулярные выражения, как описано в таблице ниже:

    Пользовательское свойство	Регулярное выражение
    MD5	md5=([\da-fA-F]{32})
    SHA1	sha1=([\da-fA-F]{40})
    SHA256	sha256=([\da-fA-F]{64})
    URL	url=([-a-zA-Z0-9()@:%_\+.~#?&\/\/=]{2,})
    Source IP	src=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

    Если необходимо, введите 1 в поле Capture Group.

13. Для свойства Source IP установите флажок Override system behavior.

    

    Настройка «Source IP»

    При изменении формата исходящих событий обнаруженных киберугроз в Kaspersky CyberTrace указанные выше регулярные выражения могут потребовать соответствующих изменений.

    Если все вышеперечисленные настройки заданы правильно, настроенные пользовательские свойства отображаются в разделе Log Activity Preview.

14. Нажмите кнопку Save и закройте окно.
15. На вкладке Log Activity выполните новую проверку работоспособности.

    После этого при открытии события, полученного от KL_Threat_Feed_Service_v2, будут отображаться настроенные пользовательские свойства.

    

    Информация о событии