Отображение полей контекста в FortiSIEM

В этом разделе описывается, как отобразить поле контекста в событиях, которые FortiSIEM получает из Kaspersky CyberTrace. В качестве примера используется поле threat_score.

Можно вставлять некоторые поля в исходящие события отдельно от контекста записей потока данных об угрозах. Таким полям в исходящих событиях можно присваивать произвольные наименования. Эти поля называются полями контекста; их список содержится в элементе ActionableFields описания потока данных об угрозах в файле конфигурации kl_feed_service.conf.

Сначала нужно отредактировать файл конфигурации kl_feed_service.conf, чтобы сделать threat_score полем контекста в Kaspersky CyberTrace. Затем нужно отредактировать правила парсинга в FortiSIEM для правильного отображения событий из Kaspersky CyberTrace.

Редактирование конфигурационного файла kl_feed_service.conf

Чтобы сделать threat_score полем контекста в Kaspersky CyberTrace, выполните следующие действия:

1. Откройте файл конфигурации kl_feed_service.conf для редактирования.
   • В Linux файл kl_feed_service.conf находится в каталоге /opt/kaspersky/ktfs/etc.
   • В Windows файл kl_feed_service.conf находится в каталоге %CyberTrace_installDir%\bin.
2. В элементе Configuration > OutputSettings > EventFormat укажите следующее значение:

   <![CDATA[Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=%Category%;detected=%MatchedIndicator%;act=%DeviceAction%;dst=%RE_IP%;src=%SRC_IP%;md5=%RE_MD5%;sha1=%RE_SHA1%;sha2=%RE_SHA256%;request=%RE_URL%;dvc=%DeviceIp%;sourceServiceName=%Device%;suser=%UserName%;%ActionableFields%msg=%RecordContext%]]>

3. В элементе Configuration > OutputSettings > ActionableFieldContextFormat укажите следующее значение:

   %ParamName%=%ParamValue%;

4. В элемент <Feed filename="IP_Reputation_Data_Feed.json" enabled="true" type="default"> добавьте следующие данные:

   <ActionableFields> <ActionableField name="threat_score" output_name="kl_threat_score"/> </ActionableFields>

5. Сохраните файл kl_feed_service.conf.
6. Перезапустите службу Kaspersky CyberTrace (компонент Kaspersky CyberTrace), выполнив следующую команду:
   • /opt/kaspersky/ktfs/etc/init.d/kl_feed_service restart (в Linux)
   • %CyberTrace_installDir%\bin\kl_control.bat restart (в Windows)

Службу Kaspersky CyberTrace можно перенастроить и перезапустить с помощью веб-интерфейса Kaspersky CyberTrace.

Редактирование правил парсинга для событий из Kaspersky CyberTrace

Чтобы отредактировать в FortiSIEM правила парсинга событий из Kaspersky CyberTrace, выполните следующие действия.

1. Откройте веб-консоль FortiSIEM.
2. Выберите Admin > Device Support > Parser.
3. В списке парсеров откройте пункт CyberTrace_Event.

   Откроется окно Event Parser Definition, содержащее данные парсера CyberTrace_Event.

4. Измените данные следующим образом:
   • В поле Test Event укажите следующее значение:

     Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=KL_DETECTION_TEST_EVENT;detected=%MatchedIndicator%;act=test_msg;dst=8.8.8.8;src=10.0.15.56;md5=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha2=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;request=http://test.test;dvc=127.0.0.5;sourceServiceName=TEST_DEVICE;suser=test_user;kl_threat_score=100;msg=there_is_some_context:true and_more:true Kaspersky Lab|Kaspersky CyberTrace|1.0|1|4|alert=KL_TEST_ALERT;msg=there_is_some_context:true and_more:true

   • В поле Parser XML укажите следующее значение:

     <eventFormatRecognizer>

     <![CDATA[Kaspersky\sLab\|Kaspersky\sCyberTrace]]>

     </eventFormatRecognizer>

     <patternDefinitions>

     <pattern name="patVbar" ><![CDATA[[^|]*]]></pattern>

     <pattern name="patStrQuote" ><![CDATA[[^" \\]+]]></pattern>

     </patternDefinitions>

     <parsingInstructions>

     <collectFieldsByRegex src="$_rawmsg" >

     <regex>

     <![CDATA[<:patVbar>\|<:patVbar>\|<_ver:patVbar>\|<_event:patVbar>\|<eventSeverity:patVbar>\|<_body:gPatMesgBody>]]>

     </regex>

     </collectFieldsByRegex>

     <choose>

     <when test='$_event = "2"' >

     <setEventAttribute attr="eventType" >Kaspersky CyberTrace detection event</setEventAttribute>

     </when>

     <when test='$_event = "1"' >

     <setEventAttribute attr="eventType" >Kaspersky CyberTrace service event</setEventAttribute>

     </when>

     </choose>

     <collectFieldsByKeyValuePair kvsep="=" sep=";" src="$_body" >

     <attrKeyMap attr="alertName" key="alert" />

     <attrKeyMap attr="threatCategory" key="reason" />

     <attrKeyMap attr="detectedIndicator" key="detected" />

     <attrKeyMap attr="srcAction" key="act" />

     <attrKeyMap attr="destIpAddr" key="dst" />

     <attrKeyMap attr="srcIpAddr" key="src" />

     <attrKeyMap attr="hashMD5" key="md5" />

     <attrKeyMap attr="hashSHA1" key="sha1" />

     <attrKeyMap attr="hashSHA2" key="sha2" />

     <attrKeyMap attr="uriQuery" key="request" />

     <attrKeyMap attr="dvcIpAddr" key="dvc" />

     <attrKeyMap attr="serviceName" key="sourceServiceName" />

     <attrKeyMap attr="user" key="suser" />

     <attrKeyMap attr="msg" key="msg" />

     <attrKeyMap attr="threatScore" key="kl_threat_score" />

     </collectFieldsByKeyValuePair>

     </parsingInstructions>

5. Нажмите Reformat.
6. Нажмите Validate, чтобы проверить XML-данные в поле Parser XML.
7. Нажмите на кнопку Test.

   Откроется окно для проверки введенных данных.

8. В окне Test Event Parser нажмите кнопку Test.

   Если окно результатов проверки содержит сообщения об ошибках, выполните следующие действия.

   1. Обратитесь к своему персональному техническому менеджеру (ПТМ), чтобы согласовать содержимое поля Test Event и содержимое поля Parser XML.
   2. Нажмите Back и укажите правильные данные в полях Test Event и Parser XML.
   3. Еще раз проверьте данные.
9. Нажмите Back.
10. В окне Event Parser Definition установите флажок Enabled.
11. Нажмите на кнопку Save.
12. В разделе Admin > Device Support > Parser нажмите Apply, а в открывшемся окне сообщения нажмите Yes, чтобы согласиться с изменениями.

Теперь события из Kaspersky CyberTrace корректно отображаются в FortiSIEM.