Просмотр событий Kaspersky CyberTrace Service

В этом разделе описывается порядок просмотра в RSA NetWitness событий, поступающих из Kaspersky CyberTrace Service.

Чтобы отобразить в RSA NetWitness события, поступающие из Kaspersky CyberTrace Service, выполните следующие действия:

1. Убедитесь, что в RSA NetWitness включен экран Navigate.

   По умолчанию в RSA NetWitness версии 11.6 и более поздних экран Navigate отключен. Чтобы включить экран Navigate, выполните следующие действия:

   1. Перейдите в раздел (Admin) > System > Investigation > Navigate.
   2. Установите флажок Enable Navigate.
   3. Нажмите на кнопку Apply.
2. В меню RSA NetWitness выберите Investigation > Navigate.

   Откроется окно Investigate.

3. На вкладке Services выберите Concentrator, в котором хранятся события из Kaspersky CyberTrace Service (или Log Decoder, в который Kaspersky CyberTrace Service отправляет события), и нажмите кнопку Navigate.

   

   Окно Investigate

4. На панели инструментов Navigate выберите Query.

   

   Кнопка панели инструментов Query

   Откроется окно создания запроса (окно Create).

5. Выберите Advanced и введите следующий запрос:

   device.type='cybertrace'

   

   Указание типа устройства

6. Нажмите на кнопку OK.

На экране Navigate отображаются события из Kaspersky CyberTrace Service.

Отображение событий из Kaspersky CyberTrace Service