Проверка настройки программного обеспечения (RSA NetWitness)

В этом разделе описываются требования, которым должны удовлетворять сервисы RSA NetWitness.

Проверьте, выполняются ли следующие условия:

• Файл индекса (index-concentrator-custom.xml) Concentrator, получающий события Kaspersky CyberTrace Service, должен содержать следующие метаполя:
  • virusname

    Это и другие метаполя (кроме msg) должны иметь уровень IndexValues. Кроме того, для этих метаполей следует установить для defaultAction значение Open.

  • user.src
  • ip.src
  • action
  • msg

    Это метаполе должно иметь уровень IndexKeys (наличие метаполя в событии индексируется) или уровень IndexNone (метаполе не индексируется) в файле index-concentrator-custom.xml. Если для этого поля задан уровень IndexValues, это приведет к ускоренному расходованию пространства на жестком диске.

  • event.source
  • device.ip
  • ip.dst
  • url
  • checksum

  Если какое-либо из этих полей отсутствует в файле индекса, добавьте их туда и перезапустите Concentrator, как описано в разделе об устранении неполадок RSA NetWitness.

  Если Concentrator отсутствует, но для хранения данных из Kaspersky CyberTrace Service используется Log Decoder, измените файл index-logdecoder-custom.xml и перезапустите Log Decoder, как описано выше.

  Если Concentrator получает данные из Log Decoder, обновлять следует только файл индекса Concentrator (index-concentrator-custom.xml). Для получения дополнительной информации см. https://community.rsa.com/docs/DOC-41760. Кроме того, обновить файл индекса Log Decoder (index-logdecoder-custom.xml) следует, если Log Decoder используется в качестве источника данных, в котором выполняется поиск событий, или если Log Decoder используется для создания отчетов или информационных панелей.

• Конфигурационный файл table-map-custom.xml (конфигурационный файл Log Decoder) должен содержать следующие метаполя:
  • virusname
  • c_username
  • saddr
  • daddr
  • url
  • checksum
  • msg
  • event_source
  • hostip
  • action

  Для каждого из этих метаполей атрибут flags должен иметь значение None.

  Если какое-либо из этих полей отсутствует в файлах индекса, см. раздел об устранении неполадок RSA NetWitness.

События обнаруженных киберугроз, отправляемые Kaspersky CyberTrace Service, содержат контекст из потоков данных об угрозах в отдельных полях. Эти поля могут отображаться и использоваться в RSA NetWitness. (В RSA NetWitness имена этих полей будут иметь префикс kl.).

Чтобы отобразить поля контекста, выполните следующие действия:

1. Добавьте содержимое файла %service_dir%/integration/rsa/additional_elements/table-map-custom.xml в файл table-map-custom.xml Log Decoder, в который Kaspersky CyberTrace Service будет отправлять события обнаруженных киберугроз.
2. Добавьте содержимое файла %service_dir%/integration/rsa/additional_elements/index-concentrator-custom.xml в файл index-concentrator-custom.xml Concentrator, в котором будут храниться события из Kaspersky CyberTrace Service.

Все настройки, описанные выше, можно задать в веб-интерфейсе RSA NetWitness на экране Services (Log Decoder and Concentrator) > Config.

После редактирования файлов table-map-custom.xml и index-concentrator-custom.xml перезапустите Log Decoder и Concentrator.