Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с RSA NetWitness

Стандартная интеграция (RSA NetWitness)

Шаг 4 (необязательный). Импорт правил Kaspersky CyberTrace Service в RSA NetWitness

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Шаг 4 (необязательный). Импорт правил Kaspersky CyberTrace Service в RSA NetWitness

11 апреля 2024

ID 167810

В комплект поставки Kaspersky CyberTrace входит файл CyberTrace_Rules.zip в каталоге integration/rsa/additional_elements. Этот файл содержит набор правил, которые можно использовать для создания отчетов, информационных сообщений и информационных панелей.

Чтобы импортировать правила Kaspersky CyberTrace Service в RSA NetWitness, выполните следующие действия:

  1. В меню RSA NetWitness выберите Dashboard > Reports.

    В RSA NetWitness 11 вместо этого необходимо выбрать Monitor > Reports.

  2. Нажмите на кнопку Settings (Кнопка «Settings» в RSA NetWitness.) и выберите Import.

    Разделенная кнопка Settings (шестеренка) → пункт меню Import в RSA NetWitness.

    Импорт правил

  3. Выберите файл CyberTrace_Rules.zip.
  4. В окне Import Rule установите флажок Rule и флажок List.

    Если файл CyberTrace_Rules.zip импортируется впервые, эти флажки можно оставить снятыми.

  5. Нажмите на кнопку Import.

    Окно Import Rule в RSA NetWitness.

    Импорт правил Kaspersky CyberTrace Service

Правила, импортируемые в RSA NetWitness, перечислены в таблице ниже.

Правило

Описание

CyberTrace Detect Botnet

Выбирает события обнаруженных киберугроз из Kaspersky CyberTrace Service, имеющие категорию Botnet.

Выбираются следующие поля:

  • url
  • checksum
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Malware Hash

Выбирает события обнаруженных хешей из Kaspersky CyberTrace Service.

Выбираются следующие поля:

  • virusname
  • checksum
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Malware IP

Выбирает события обнаруженных IP-адресов из Kaspersky CyberTrace Service.

Выбираются следующие поля:

  • virusname
  • ip.dst
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Malware URL

Выбирает события обнаруженных URL из Kaspersky CyberTrace Service.

Выбираются следующие поля:

  • virusname
  • url
  • ip.src
  • user.src
  • event.source

CyberTrace Detect Stat

Выбирает все категории, используемые в процессе обнаружения киберугроз.

Выбираются следующие поля:

  • virusname

CyberTrace Service events

Выбирает сервисные события из Kaspersky CyberTrace Service.

Выбираются следующие поля:

  • action
  • msg

CyberTrace Top 10 IP

Выбирает топ-10 обнаруженных IP-адресов.

Выбираются следующие поля:

  • kl.detected

CyberTrace Top 10 URL

Выбирает топ-10 обнаруженных URL.

Выбираются следующие поля:

  • url

CyberTrace Top 10 Hash

Выбирает топ-10 обнаруженных хешей.

Выбираются следующие поля:

  • checksum

CyberTrace Detected users

Вычисляет количество событий обнаруженных киберугроз на одного пользователя.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!