Добавление полей в FortiSIEM

По умолчанию событие обнаружения, отправляемое Kaspersky CyberTrace, содержит IP-адрес устройства, отправившего исходное событие, и поле для обнаруженного индикатора. Однако FortiSIEM не содержит полей для сохранения этого IP-адреса и индикатора. В этом разделе описывается, как добавить поле для сохранения требуемых значений в FortiSIEM.

Чтобы добавить поле для сохранения IP-адреса и обнаруженного индикатора в FortiSIEM, выполните следующие действия.

1. Откройте веб-консоль FortiSIEM.
2. Выберите Admin > Device Support > Event Attribute.
3. Нажмите New.

   Откроется окно Add Event Attribute Type Definition.

4. Укажите следующую информацию:
   • В поле Name укажите dvcIpAddr.
   • В поле Display Name укажите IP-адрес устройства.
   • В поле Value Type выберите IP.
   • Заполните остальные поля по своему усмотрению.

   

   Добавление нового поля в FortiSIEM

5. Нажмите на кнопку Save.
6. Нажмите New.
7. В открывшемся окне Add Event Attribute Type Definition укажите следующую информацию.
   • В поле Name, укажите detectedIndicator.
   • В поле Display Name укажите Detected indicator.
   • В поле Value Type выберите String.
   • Заполните остальные поля по своему усмотрению.
8. Нажмите на кнопку Save.
9. Нажмите на кнопку Apply.

Дополнительные сведения о добавлении нового поля в FortiSIEM см. на странице http://help.fortinet.com/fsiem/5-1-1/Online-Help/HTML5_Help/Working_with_Event_Attributes.htm.