Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства пользователя

Работа с событиями в ArcSight

Фильтрация событий для пересылки из ArcSight

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Фильтрация событий для пересылки из ArcSight

11 апреля 2024

ID 171425

В этом разделе описывается, как ArcSight фильтрует события, пересылаемые в Kaspersky CyberTrace Service.

Фильтр, импортированный из пакета ARB

После импорта пакета ARB ArcSight содержит фильтр CyberTrace forwarding events, используемый для фильтрации событий, которые будут пересылаться в Kaspersky CyberTrace Service.

Исходный фильтр CyberTrace forwarding events выбирает те события, которые содержат IP-адрес в поле Destination Address, URL в поле Request URL или хеш в поле fileHash, отправляемые устройством одного из следующих производителей:

  • Cisco
  • Microsoft
  • Juniper Networks
  • Trend Micro
  • McAfee
  • Imperva
  • CheckPoint
  • Blue Coat
  • Apache
  • Fortinet
  • Sourcefire
  • F5 Networks
  • FireEye
  • Palo Alto Networks
  • Squid
  • CyberTrace Verification Kit (для проверки работоспособности)

Кроме того, события, попадающие в выборку, формируемую исходным фильтром CyberTrace forwarding events, должны соответствовать одному из следующих условий:

  • Поле Source Address или Source Host Name события не пустое, а значение поля Destination Address — не подсети 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8.
  • Поле Destination Address или Destination Host Name события не пустое, а значение поля Source Address — не подсети 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8.
  • Поле Request URL события содержит URL.
  • Поле fileHash события содержит хеш.

Использование исходного фильтра CyberTrace forwarding events может значительно снизить производительность ArcSight ESM. Чтобы снизить нагрузку на сервер ArcSight ESM, отредактируйте фильтр так, чтобы он отправлял меньше событий или выполнял меньше проверок. Например, можно удалить из фильтра тех производителей, чьи события не поступают в ArcSight, или которые не нуждаются в проверке со стороны Kaspersky CyberTrace Service.

Проверка существующего фильтра

Может потребоваться проверить, попадают ли определенные события в выборку для существующего фильтра.

Чтобы проверить, попадают ли требуемые события в выборку, формируемую существующим фильтром, выполните следующие действия:

  1. Создайте активный канал с фильтром.

    Щелкните правой кнопкой мыши по узлу фильтра в дереве Filters и выберите пункт контекстного меню Create Channel with Filter.

    Пункт контекстного меню Create Channel with Filter в ArcSight.

    Создание канала

  2. В случае необходимости можно установить временной интервал для отображения событий.

    Настройка временного интервала в ArcSight.

    Настройка временного интервала

  3. Если необходимо, в поле Inline Filter установите дополнительный фильтр, чтобы сузить выборку.

    Например, можно задать для отображаемых событий производителя устройства, наименование изделия или и то, и другое.

    Настройка дополнительного фильтра в ArcSight.

    Настройка дополнительного фильтра

  4. Убедитесь, что события, которые требуется выбрать (и которые соответствуют добавленному условию), отображаются в созданном активном канале.

Изменение существующего фильтра

Существующий фильтр может потребоваться изменить. Например, если в активном канале не отображаются события от определенного производителя устройства, можно добавить производителя устройства в условие в фильтре, которое выполняет фильтрацию по производителям устройств.

Чтобы добавить производителя устройства в фильтр, выполните следующие действия:

  1. Откройте фильтр.
  2. Выберите вкладку Filter.

    Отобразятся условия фильтрации, вложенные в элемент дерева Event conditions.

  3. Измените условие Device Vendor и добавьте к нему производителя устройства, события которого должны отправляться в Kaspersky CyberTrace Service.

    Условия фильтрации в ArcSight.

    Условия фильтрации

Просмотр информации о событиях в ArcSight

Информацию, содержащуюся в событии, можно просматривать, чтобы выбрать поля для фильтрации или для добавления к выходным событиям.

Чтобы просмотреть информацию о событиях в ArcSight,

в активном канале дважды щелкните событие, которое будет переслано в Kaspersky CyberTrace Service.

В ArcSight Console откроется вкладка Event Inspector, содержащая данные о событии.

Вкладка Event Inspector в ArcSight.

Вкладка «Event Inspector»

Обратите внимание, что ArcSight и Kaspersky CyberTrace Service оперируют событиями в формате CEF, однако в ArcSight Console имена полей событий отображаются в удобочитаемой форме. В таблице ниже показано соответствие между некоторыми именами полей в этих двух представлениях.

Имена полей в формате CEF и в ArcSight Console

Имя поля в CEF

Имя поля в ArcSight Console

dst

Destination Address

dvc

Device Address

msg

Message

shost

Source Host Name

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!