Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с QRadar

Альтернативная интеграция (QRadar)

Интеграция с QRadar в случае, если QRadar не может получать обновления

Импорт QID в QRadar

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Импорт QID в QRadar

11 апреля 2024

ID 171611

QRadar должен правильно обрабатывать входящие события от Kaspersky CyberTrace Service. Для этого необходимо добавить в QRadar список допустимых событий (список идентификаторов QRadar — QID). В Kaspersky CyberTrace Service категории событий определяются в конфигурационном файле в элементе Feeds > Feed > Field, в атрибуте category.

В состав комплекта поставки Kaspersky CyberTrace входит файл sample_qid.txt, содержащий необходимые события от Kaspersky CyberTrace Service. Описания этих событий изменять не следует, вместо этого добавьте в файл собственные события.

Рекомендуется присваивать имена категориям событий в соответствии с форматом «KL_<feed>_<object_type>», где:

  • <feed> — имя потока данных об угрозах, обнаруживающего событие (например, PhishingUrl.
  • <object_type> — поле, по которому обнаруживается событие (например, URL, Hash_MD5, Hash_SHA1, Hash_SHA256).

Чтобы импортировать список QID в QRadar, выполните следующие действия:

  1. При необходимости (например, если это рекомендует сделать ваш персональный технический менеджер) отредактируйте файл %service_dir%/integration/qradar/sample_qid.txt, добавив в него все категории событий, содержащиеся в конфигурационном файле.

    Каждая категория событий должна быть описана на отдельной строке в следующем формате:

    ,<event>,<descr>,<sev>,<cat_id>

    где:

    • <event> — имя входящего события.
    • <descr> — описание события.
    • <sev> — уровень важности события.
    • <cat_id> — низкоуровневый идентификатор события QRadar.

      Полный список идентификаторов событий QRadar вывести с помощью следующей команды:

      /opt/qradar/bin/qidmap_cli.sh -l

      Рекомендуется выбирать значения <sev> и <cat_id> в соответствии с документацией QRadar.

    Например:

    ,KL_Malicious_URL,Malicious URL is detected by Kaspersky Threat Feed Service,8,7058

  2. Загрузите файл %service_dir%/integration/qradar/sample_qid.txt на сервер, на котором установлен QRadar.
  3. Вызовите команду:

    /opt/qradar/bin/qidmap_cli.sh -i -f <filename>

    где <filename> — путь назначения файла sample_qid.txt, загруженного на шаге 2.

  4. Для просмотра добавленных пользовательских QID, выполните следующую команду:

    /opt/qradar/bin/qidmap_cli.sh –e

В случае возникновения ошибки см. варианты решения проблемы в Руководстве администратора IBM Security QRadar.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!