Шаг 1. Пересылка событий из RSA NetWitness

В этом разделе описывается порядок настройки в RSA NetWitness пересылки получаемых событий в Kaspersky CyberTrace Service.

Чтобы пересылать события из RSA NetWitness в Kaspersky CyberTrace Service, выполните следующие действия:

1. В главном окне RSA NetWitness выберите Administration > Services.
2. В таблице Services ниже выберите требуемый Log Decoder (тот, Log Decoder, который получает события, содержащие URL, хеш или IP-адрес).

   

   Выбор Log Decoder

   Если для приема событий используется более одного Log Decoder, повторите следующие шаги для каждого Log Decoder.

3. Для выбранного Log Decoder в столбце Actions нажмите кнопку Settings (), затем в раскрывающемся списке выберите View > Config.
4. Перейдите на вкладку App Rules и нажмите кнопку Add ().

   Откроется окно Rule Editor.

5. Задайте следующие параметры:
   • Rule Name: cybertrace
   • Condition: device.type='%DEVICE_NAME_1%'

     Это пример условия, в котором строка %DEVICE_NAME_1% представляет собой имя устройства, события которого должны отправляться в Kaspersky CyberTrace Service. Ниже приведен еще один пример условия, в соответствии с которым события из Cisco ASA и Check Point Firewall должны отправляться в Kaspersky CyberTrace Service:

     device.type='ciscoasa' || device.type='checkpointfw1'

     Если событие соответствует указанному здесь условию, оно отправляется в Kaspersky CyberTrace Service.

   • Флажок Alert: установлен
   • Флажок Forward: установлен

   

   Окно «Rule Editor»

   Для получения информации о порядке создания правил, см. https://community.rsa.com/t5/rsa-netwitness-platform-online/configure-application-rules/ta-p/592148.

6. Нажмите на кнопку OK.
7. Нажмите на кнопку Apply.
8. Рядом с именем Log Decoder выберите Config > Explore.
9. Укажите назначение.
   • Для RSA NetWitness версии 11.2 и более поздних:

     В параметре /decoder/config/logs.forwarding.destination укажите следующее назначение:

     cybertrace=tcp:[IP]:[port]:rfc3164

     Здесь [IP] — это IP-адрес сервера, на котором установлен Kaspersky CyberTrace Service, а [port] — это порт, который Kaspersky CyberTrace Service прослушивает для получения событий (по умолчанию используется порт 9999). IP-адрес и порт совпадают с указанными на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace.

   • Для более ранних версий RSA NetWitness, чем 11.2:
     1. В параметре /decoder/config/logs.forwarding.destination укажите следующее назначение:

        cybertrace=tcp:[IP]:[port]

        Здесь [IP] — это IP-адрес сервера, на котором установлен Kaspersky CyberTrace Service, а [port] — это порт, который Kaspersky CyberTrace Service прослушивает для получения событий (по умолчанию используется порт 9999). IP-адрес и порт совпадают с указанными на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace.

     2. Для параметра EventDelimeter в конфигурационном файле Kaspersky CyberTrace Service задайте значение <![CDATA[(\<\d+\>)]]>.

   

   Настройки пересылки событий журнала

10. Для параметра /decoder/config/logs.forwarding.enabled задайте значение true.

После выполнения этих действий RSA NetWitness будет пересылать события, удовлетворяющие правилу cybertrace, на адрес, указанный в параметре logs.forwarding.destination.

Дополнительные сведения о пересылке событий см. на странице https://community.rsa.com/t5/rsa-netwitness-platform-online/decoder-configure-syslog-forwarding-to-destination/ta-p/572084.