Активные каналы
11 апреля 2024
ID 171423
После импорта пакета ARB в ArcSight становятся доступны следующие активные каналы:
- CyberTrace alerts
Отображает сервисные события из Kaspersky CyberTrace Service в режиме реального времени.
- Поле Reason содержит идентификатор сервисного события.
- Поле Message содержит дополнительную информацию о событии (если есть).
Активный канал CyberTrace alerts
- CyberTrace all matches
Отображает события обнаружений киберугроз от Kaspersky CyberTrace Service в режиме реального времени.
- В поле Reason указывается категория обнаруженного объекта.
- Поле Detected indicator содержит обнаруженный объект.
- В поле Request Url содержится URL, который был обнаружен в событии, отправленном из ArcSight в Kaspersky CyberTrace Service.
- В поле File Hash содержится хеш, который был обнаружен в событии, отправленном из ArcSight в Kaspersky CyberTrace Service.
- В поле Source Service Name содержится название производителя устройства, отправившего событие в ArcSight.
- В поле Source Process Name содержится имя устройства, отправившего событие в ArcSight.
- В поле Event Outcome содержится идентификатор исходного события, которое поступило в ArcSight и затем было отправлено в Kaspersky CyberTrace Service.
- В поле Message содержится краткое описание обнаружения киберугрозы. Описание имеет следующий формат:
CyberTrace detected <имя_потока_данных_об_угрозах_задействованного_в_процессе_обнаружения_киберугроз>
. - В поле Source User Name содержится имя пользователя, который был активен на о конечном устройстве.
- В поле Source Address содержится IPv4-адрес, определяющий источник в IP-сети, на который ссылается исходное событие.
- В поле Destination Address содержится IPv4-адрес назначения, который был обнаружен в событии, отправленном из ArcSight в Kaspersky CyberTrace Service.
- В поле Device Action содержится действие, выполненное устройством, как указано в исходном событии.
- Значения полей Popularity, Threat Score, Threat и других берутся из потока данных об угрозах, который был задействован в процессе обнаружения киберугроз.
Активный канал CyberTrace all matches
- CyberTrace hash matches
Отображает события обнаружения хешей от Kaspersky CyberTrace Service в режиме реального времени.
- CyberTrace URL matches
Отображает события обнаруженных URL-адресов из Kaspersky CyberTrace Service в режиме реального времени.
- CyberTrace IP matches
Отображает события обнаружения IP-адресов из Kaspersky CyberTrace Service в режиме реального времени.