Проверка настройки программного обеспечения (RSA NetWitness)
11 апреля 2024
ID 167743
В этом разделе описываются требования, которым должны удовлетворять сервисы RSA NetWitness.
Проверьте, выполняются ли следующие условия:
- Файл индекса (index-concentrator-custom.xml) Concentrator, получающий события Kaspersky CyberTrace Service, должен содержать следующие метаполя:
virusname
Это и другие метаполя (кроме
msg
) должны иметь уровеньIndexValues
. Кроме того, для этих метаполей следует установить дляdefaultAction
значениеOpen
.user.src
ip.src
action
msg
Это метаполе должно иметь уровень
IndexKeys
(наличие метаполя в событии индексируется) или уровеньIndexNone
(метаполе не индексируется) в файле index-concentrator-custom.xml. Если для этого поля задан уровеньIndexValues
, это приведет к ускоренному расходованию пространства на жестком диске.event.source
device.ip
ip.dst
url
checksum
Если какое-либо из этих полей отсутствует в файле индекса, добавьте их туда и перезапустите Concentrator, как описано в разделе об устранении неполадок RSA NetWitness.
Если Concentrator отсутствует, но для хранения данных из Kaspersky CyberTrace Service используется Log Decoder, измените файл index-logdecoder-custom.xml и перезапустите Log Decoder, как описано выше.
Если Concentrator получает данные из Log Decoder, обновлять следует только файл индекса Concentrator (index-concentrator-custom.xml). Для получения дополнительной информации см. https://community.rsa.com/docs/DOC-41760. Кроме того, обновить файл индекса Log Decoder (index-logdecoder-custom.xml) следует, если Log Decoder используется в качестве источника данных, в котором выполняется поиск событий, или если Log Decoder используется для создания отчетов или информационных панелей.
- Конфигурационный файл table-map-custom.xml (конфигурационный файл Log Decoder) должен содержать следующие метаполя:
virusname
c_username
saddr
daddr
url
checksum
msg
event_source
hostip
action
Для каждого из этих метаполей атрибут
flags
должен иметь значениеNone
.Если какое-либо из этих полей отсутствует в файлах индекса, см. раздел об устранении неполадок RSA NetWitness.
События обнаруженных киберугроз, отправляемые Kaspersky CyberTrace Service, содержат контекст из потоков данных об угрозах в отдельных полях. Эти поля могут отображаться и использоваться в RSA NetWitness. (В RSA NetWitness имена этих полей будут иметь префикс kl.
).
Чтобы отобразить поля контекста, выполните следующие действия:
- Добавьте содержимое файла
%service_dir%/integration/rsa/additional_elements/table-map-custom.xml
в файлtable-map-custom.xml
Log Decoder, в который Kaspersky CyberTrace Service будет отправлять события обнаруженных киберугроз. - Добавьте содержимое файла
%service_dir%/integration/rsa/additional_elements/index-concentrator-custom.xml
в файлindex-concentrator-custom.xml
Concentrator, в котором будут храниться события из Kaspersky CyberTrace Service.
Все настройки, описанные выше, можно задать в веб-интерфейсе RSA NetWitness на экране Services (Log Decoder and Concentrator) > Config.
После редактирования файлов table-map-custom.xml и index-concentrator-custom.xml перезапустите Log Decoder и Concentrator.