Добавление Kaspersky CyberTrace Service в качестве источника журналов

Чтобы события, отправляемые Kaspersky CyberTrace Service, поступали в QRadar, QRadar должен рассматривать Kaspersky CyberTrace Service как источник журналов. Kaspersky CyberTrace Service отправляет события в формате QRadar Log Event Extended Format (LEEF), а в качестве нового источника журналов в QRadar будет использоваться источник журналов Universal LEEF.

Чтобы добавить Kaspersky CyberTrace Service в QRadar в качестве источника журналов:

1. Выберите пункт меню Admin > Log Sources > Add.
2. В окне Add a log source введите уникальное имя для источника журналов.

   Это имя будет отображаться в графическом интерфейсе для всех событий из этого источника.

3. Введите описание источника журналов.
4. Выберите Universal LEEF в раскрывающемся списке Log Source Type.
5. Выберите «Syslog» в раскрывающемся списке Protocol Configuration.
6. В поле ввода Log Source Identifier введите идентификатор, заданный в конфигурационном файле Kaspersky CyberTrace Service — в данном случае это KL_Threat_Feed_Service_v2. Этот идентификатор используется в параметрах EventFormat и AlertFormat.

   Не устанавливайте флажок Coalescing Events. Если установить этот флажок, все события из Kaspersky CyberTrace Service будут объединяться в одно событие, не содержащее полезной информации.

   

   Добавление источника журналов в QRadar

7. Нажмите на кнопку Save.

Выполните действия в том же порядке, чтобы добавить еще один источник журналов с идентификатором KL_Verification_Tool. Он будет использоваться для тестирования взаимодействия между Kaspersky CyberTrace Service и QRadar.

После добавления двух источников журналов выберите пункт меню Admin > Deploy Changes.