Шаг 3. Настройка CyberTrace для взаимодействия с ArcSight

В этом разделе описывается порядок настройки CyberTrace для взаимодействия с ArcSight во время нормальной работы.

Чтобы настроить CyberTrace для взаимодействия с ArcSight, выполните следующие действия:

1. Откройте веб-интерфейс Kaspersky CyberTrace.
2. Выберите вкладку Settings > Service.
3. В разделе Connection settings в поле параметра Service listens on выберите IP-адрес и порт, которые Kaspersky CyberTrace Service должен прослушивать для получения входящих событий. IP-адрес и порт задаются при установке ArcSight Forwarding Connector (значение по умолчанию 127.0.0.1:9999).
4. Перейдите на вкладку Matching, затем нажмите на ссылку Edit default rules.

   Откроется форма Default properties.

5. На вкладке Normalization rules выполните следующие действия:
   • В поле To replace введите последовательность символов \=
   • В поле Replace with введите символ =

   После внесения изменений вкладка Normalization rules должна выглядеть следующим образом:

   

   Вкладка Normalization rules

6. Выберите вкладку Regular expressions. На этой вкладке содержатся универсальные регулярные выражения, используемые для сопоставления URL (с протоколом), хешей, IP-адресов (источника и назначения), имени устройства, названия производителя, IP-адреса устройства, имени пользователя и идентификатора события. Измените эти регулярные выражения так, чтобы они обеспечивали сопоставление фактических событий.
7. Закройте форму Default properties.
8. На вкладке Events format в поле Alert events format введите следующую строку:

   CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext%

9. В поле Detection events format введите следующую строку:

   CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cn3Label=Confidence cn3=%Confidence% cs6Label=Context cs6=%RecordContext%

ArcSight и поля контекста

В потоках данных об угрозах Kaspersky Data Feed используются следующие поля контекста (actionable fields). Поля контекста можно просматривать на вкладке Settings > Feeds.

• Для потоков данных об угрозах Demo Botnet C&C URL Data Feed и Botnet C&C URL Data Feed:

  Field name	Output	Поле CEF
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat	cs3	deviceCustomString3
  urls/url	cs4	deviceCustomString4
  whois/domain	cs2	deviceCustomString2

• Для потоков данных об угрозах Demo Malicious Hash Data Feed и Malicious Hash Data Feed:

  Field name	Output	Поле CEF
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat	cs3	deviceCustomString3
  urls/url	cs4	deviceCustomString4
  file_size	fsize	file_size

• Для потоков данных об угрозах Demo IP Reputation Feed и IP Reputation Data Feed:

  Field name	Output	Поле CEF
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat_score	cn1	deviceCustomNumber1
  domains	cs2	deviceCustomString2
  urls/url	cs4	deviceCustomString4
  files/threat	cs3	deviceCustomString3

• Для потока данных об угрозах Malicious URL Data Feed:

  Field name	Output	Поле CEF
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  files/threat	cs3	deviceCustomString3
  category	cs4	deviceCustomString4
  whois/domain	cs2	deviceCustomString2

• Для потока данных об угрозах Mobile Malicious Hash Data Feed:

  Field name	Output	Поле CEF
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat	cs3	deviceCustomString3
  file_size	fsize	file_size

• Для потока данных об угрозах Phishing URL Data Feed:

  Field name	Output	Поле CEF
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  industry	deviceFacility	deviceFacility
  whois/domain	cs2	deviceCustomString2

• Для потока данных об угрозах Mobile Botnet Data Feed:

  Field name	Output	Поле CEF
  threat	cs3	deviceCustomString3

• Для потока данных об угрозах APT URL Data Feed:

  Field name	Output	Поле CEF
  detection_date	flexString1	flexString1
  publication_name	cs3	deviceCustomString3

• Для потока данных об угрозах APT IP Data Feed:

  Field name	Output	Поле CEF
  detection_date	flexString1	flexString1
  publication_name	cs3	deviceCustomString3

• Для потока данных об угрозах APT Hash Data Feed:

  Field name	Output	Поле CEF
  detection_date	flexString1	flexString1
  publication_name	cs3	deviceCustomString3

• Для потока данных об угрозах IoT URL Data Feed:

  Field name	Output	Поле CEF
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  files/threat	cs3	deviceCustomString3

Очистка полей ArcSight, заполненных информацией из потоков данных об угрозах Kaspersky Data Feed

Если поле CEF требуется использовать не для информации из потоков данных об угрозах Kaspersky Data Feed, а для какой-либо другой информации, такое поле необходимо очистить.

Чтобы очистить поле CEF, выполните следующие действия:

1. Выберите вкладку Параметры веб-интерфейса Kaspersky CyberTrace.
2. Выберите вкладку Feeds.
3. Убедитесь, что в разделе Filtering rules for feeds выбрана вкладка Kaspersky, а затем нажмите на тот поток данных об угрозах Kaspersky Threat Data Feeds, который содержит поле, которое требуется очистить.
4. В разделе Actionable fields найдите поле Output, содержащее имя поля CEF, которое требуется очистить.
5. Нажмите на значок Delete () рядом с полем Output, найденным на предыдущем шаге.