Отображение полей контекста в FortiSIEM
11 апреля 2024
ID 181725
В этом разделе описывается, как отобразить поле контекста в событиях, которые FortiSIEM получает из Kaspersky CyberTrace. В качестве примера используется поле threat_score
.
Можно вставлять некоторые поля в исходящие события отдельно от контекста записей потока данных об угрозах. Таким полям в исходящих событиях можно присваивать произвольные наименования. Эти поля называются полями контекста; их список содержится в элементе ActionableFields
описания потока данных об угрозах в файле конфигурации kl_feed_service.conf.
Сначала нужно отредактировать файл конфигурации kl_feed_service.conf, чтобы сделать threat_score
полем контекста в Kaspersky CyberTrace. Затем нужно отредактировать правила парсинга в FortiSIEM для правильного отображения событий из Kaspersky CyberTrace.
Редактирование конфигурационного файла kl_feed_service.conf
Чтобы сделать threat_score
полем контекста в Kaspersky CyberTrace, выполните следующие действия:
- Откройте файл конфигурации kl_feed_service.conf для редактирования.
- В Linux файл kl_feed_service.conf находится в каталоге
/opt/kaspersky/ktfs/etc
. - В Windows файл kl_feed_service.conf находится в каталоге
%CyberTrace_installDir%\bin
.
- В Linux файл kl_feed_service.conf находится в каталоге
- В элементе
Configuration > OutputSettings > EventFormat
укажите следующее значение:<![CDATA[Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=%Category%;detected=%MatchedIndicator%;act=%DeviceAction%;dst=%RE_IP%;src=%SRC_IP%;md5=%RE_MD5%;sha1=%RE_SHA1%;sha2=%RE_SHA256%;request=%RE_URL%;dvc=%DeviceIp%;sourceServiceName=%Device%;suser=%UserName%;%ActionableFields%msg=%RecordContext%]]>
- В элементе
Configuration > OutputSettings > ActionableFieldContextFormat
укажите следующее значение:%ParamName%=%ParamValue%;
- В элемент
<Feed filename="IP_Reputation_Data_Feed.json" enabled="true" type="default">
добавьте следующие данные:<ActionableFields>
<ActionableField name="threat_score" output_name="kl_threat_score"/>
</ActionableFields>
- Сохраните файл kl_feed_service.conf.
- Перезапустите службу Kaspersky CyberTrace (компонент Kaspersky CyberTrace), выполнив следующую команду:
/opt/kaspersky/ktfs/etc/init.d/kl_feed_service restart
(в Linux)%CyberTrace_installDir%\bin\kl_control.bat restart
(в Windows)
Службу Kaspersky CyberTrace можно перенастроить и перезапустить с помощью веб-интерфейса Kaspersky CyberTrace.
Редактирование правил парсинга для событий из Kaspersky CyberTrace
Чтобы отредактировать в FortiSIEM правила парсинга событий из Kaspersky CyberTrace, выполните следующие действия.
- Откройте веб-консоль FortiSIEM.
- Выберите Admin > Device Support > Parser.
- В списке парсеров откройте пункт CyberTrace_Event.
Откроется окно Event Parser Definition, содержащее данные парсера
CyberTrace_Event
. - Измените данные следующим образом:
- В поле Test Event укажите следующее значение:
Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=KL_DETECTION_TEST_EVENT;detected=%MatchedIndicator%;act=test_msg;dst=8.8.8.8;src=10.0.15.56;md5=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha2=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;request=http://test.test;dvc=127.0.0.5;sourceServiceName=TEST_DEVICE;suser=test_user;kl_threat_score=100;msg=there_is_some_context:true and_more:true
Kaspersky Lab|Kaspersky CyberTrace|1.0|1|4|alert=KL_TEST_ALERT;msg=there_is_some_context:true and_more:true
- В поле Parser XML укажите следующее значение:
<eventFormatRecognizer>
<![CDATA[Kaspersky\sLab\|Kaspersky\sCyberTrace]]>
</eventFormatRecognizer>
<patternDefinitions>
<pattern name="patVbar" ><![CDATA[[^|]*]]></pattern>
<pattern name="patStrQuote" ><![CDATA[[^" \\]+]]></pattern>
</patternDefinitions>
<parsingInstructions>
<collectFieldsByRegex src="$_rawmsg" >
<regex>
<![CDATA[<:patVbar>\|<:patVbar>\|<_ver:patVbar>\|<_event:patVbar>\|<eventSeverity:patVbar>\|<_body:gPatMesgBody>]]>
</regex>
</collectFieldsByRegex>
<choose>
<when test='$_event = "2"' >
<setEventAttribute attr="eventType" >Kaspersky CyberTrace detection event</setEventAttribute>
</when>
<when test='$_event = "1"' >
<setEventAttribute attr="eventType" >Kaspersky CyberTrace service event</setEventAttribute>
</when>
</choose>
<collectFieldsByKeyValuePair kvsep="=" sep=";" src="$_body" >
<attrKeyMap attr="alertName" key="alert" />
<attrKeyMap attr="threatCategory" key="reason" />
<attrKeyMap attr="detectedIndicator" key="detected" />
<attrKeyMap attr="srcAction" key="act" />
<attrKeyMap attr="destIpAddr" key="dst" />
<attrKeyMap attr="srcIpAddr" key="src" />
<attrKeyMap attr="hashMD5" key="md5" />
<attrKeyMap attr="hashSHA1" key="sha1" />
<attrKeyMap attr="hashSHA2" key="sha2" />
<attrKeyMap attr="uriQuery" key="request" />
<attrKeyMap attr="dvcIpAddr" key="dvc" />
<attrKeyMap attr="serviceName" key="sourceServiceName" />
<attrKeyMap attr="user" key="suser" />
<attrKeyMap attr="msg" key="msg" />
<attrKeyMap attr="threatScore" key="kl_threat_score" />
</collectFieldsByKeyValuePair>
</parsingInstructions>
- В поле Test Event укажите следующее значение:
- Нажмите Reformat.
- Нажмите Validate, чтобы проверить XML-данные в поле Parser XML.
- Нажмите на кнопку Test.
Откроется окно для проверки введенных данных.
- В окне Test Event Parser нажмите кнопку Test.
Если окно результатов проверки содержит сообщения об ошибках, выполните следующие действия.
- Обратитесь к своему персональному техническому менеджеру (ПТМ), чтобы согласовать содержимое поля Test Event и содержимое поля Parser XML.
- Нажмите Back и укажите правильные данные в полях Test Event и Parser XML.
- Еще раз проверьте данные.
- Нажмите Back.
- В окне Event Parser Definition установите флажок Enabled.
- Нажмите на кнопку Save.
- В разделе Admin > Device Support > Parser нажмите Apply, а в открывшемся окне сообщения нажмите Yes, чтобы согласиться с изменениями.
Теперь события из Kaspersky CyberTrace корректно отображаются в FortiSIEM.