Добавление Kaspersky CyberTrace Service в качестве источника журналов
11 апреля 2024
ID 171612
Чтобы события, отправляемые Kaspersky CyberTrace Service, поступали в QRadar, QRadar должен рассматривать Kaspersky CyberTrace Service как источник журналов. Kaspersky CyberTrace Service отправляет события в формате QRadar Log Event Extended Format (LEEF), а в качестве нового источника журналов в QRadar будет использоваться источник журналов Universal LEEF.
Чтобы добавить Kaspersky CyberTrace Service в QRadar в качестве источника журналов:
- Выберите пункт меню Admin > Log Sources > Add.
- В окне Add a log source введите уникальное имя для источника журналов.
Это имя будет отображаться в графическом интерфейсе для всех событий из этого источника.
- Введите описание источника журналов.
- Выберите
Universal LEEF
в раскрывающемся списке Log Source Type. - Выберите «Syslog» в раскрывающемся списке Protocol Configuration.
- В поле ввода Log Source Identifier введите идентификатор, заданный в конфигурационном файле Kaspersky CyberTrace Service — в данном случае это
KL_Threat_Feed_Service_v2
. Этот идентификатор используется в параметрах EventFormat и AlertFormat.Не устанавливайте флажок Coalescing Events. Если установить этот флажок, все события из Kaspersky CyberTrace Service будут объединяться в одно событие, не содержащее полезной информации.
Добавление источника журналов в QRadar
- Нажмите на кнопку Save.
Выполните действия в том же порядке, чтобы добавить еще один источник журналов с идентификатором KL_Verification_Tool
. Он будет использоваться для тестирования взаимодействия между Kaspersky CyberTrace Service и QRadar.
После добавления двух источников журналов выберите пункт меню Admin > Deploy Changes.