Парсинг событий обнаружения Kaspersky CyberTrace в McAfee Enterprise Security Manager

В этом разделе описано, как выполнять парсинг событий обнаружения Kaspersky CyberTrace, имеющих следующий формат:

Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%

Обратите внимание, что, если вы меняете формат событий обнаружения Kaspersky CyberTrace, вам необходимо изменить правила парсера Kaspersky CyberTrace в McAfee Enterprise Security Manager.

Для парсинга события обнаружения введите следующие данные в диалоговом окне Advanced Syslog Parser Rule:

• На вкладке General введите следующие данные:
  • Name: Kaspersky_CyberTrace_DetectionEvent
  • Tags: выберите теги, определяющие правило (они будут использоваться при фильтрации событий)
  • Rule Assignment Type: User Defined 1
  • Description: событие обнаружения Kaspersky CyberTrace
• На вкладке Parsing введите следующие данные:
  • Provide content strings: событие обнаружения Kaspersky CyberTrace
  • Sample Log Data: предоставьте пример события обнаружения URL. Например:

    Kaspersky CyberTrace Detection Event| date=Oct 12 16:13:23 reason=KL_BotnetCnC_URL detected=http://fakess123bn.nu act=REQUEST_URL dst=192.168.1.0 src=192.168.2.0 hash=776735A8CA96DB15B422879DA599F474 request=http://fakess123bn.nu dvc=192.168.3.0 sourceServiceName=FireWall suser=UserName msg:popularity=5 geo=vn, in, mx threat=Trojan.Win32.Waldek

  • Добавьте следующие регулярные выражения для парсинга событий:

  Имя	Регулярное выражение
  ct_date	date\=(\S+\s\d+\s\S+)
  ct_reason	reason\=(.*)\sdetected
  ct_indicator	detected\=(.*)\sact
  ct_dev_action	act\=(.*)\sdst
  ct_dst	dst\=(\S+)
  ct_src	src\=(\S+)
  ct_hash	hash\=(\S+)
  ct_request	request\=(.*)\sdvc
  ct_dev_ip	dvc\=(\S+)
  ct_serviceName	sourceServiceName\=(.*)\ssuser
  ct_username	suser\=(.*?)\smsg
  ct_context	msg\:(.*)$

  • На вкладке Field Assignment введите следующие данные:

  Поле	Выражение
  Action	"0"
  First Time	Перетащите ct_date в это поле
  URL	Перетащите ct_request в это поле
  Destination IP	Перетащите ct_dst в это поле
  Device_Action	Перетащите ct_dev_action в это поле
  Hash	Перетащите ct_hash в это поле
  Host	Перетащите ct_dev_ip в это поле
  Message_Text	Перетащите ct_context в это поле
  Object	Перетащите ct_indicator в это поле
  Return_Code	Перетащите ct_reason в это поле
  Service_Name	Перетащите ct_serviceName в это поле
  Severity	"80"
  Source IP	Перетащите ct_src в это поле
  Source User	Перетащите ct_username в это поле

  McAfee ESM переименовывает поле Object в ObjectID.

  • На вкладке Mapping введите следующие данные:
    • В таблице временных данных используйте следующие данные:

  Формат времени	Поля времени
  %b %d %H:%M:%S	First Time

  • В таблице действий используйте следующие данные:

  Ключ действия	Значение действия
  0	Success

  • В таблице важности используйте следующие данные:

  Ключ важности	Значение важности
  80	80

Указав приведенные выше значения, выполните следующие действия.

1. В списке Default Policy выберите устройство Kaspersky CyberTrace, а затем включите правило Kaspersky_CyberTrace_DetectionEvent.
2. Выберите File > Save, чтобы сохранить текущее состояние.
3. Выберите Operations > Rollout, чтобы развернуть политику.
4. Повторно инициализируйте устройство Kaspersky CyberTrace.
5. Выберите Operations > Modify Aggregation Settings, чтобы изменить правила агрегирования событий службы Kaspersky CyberTrace.

   Откроется диалоговое окно Modify Aggregation Settings.

6. Укажите следующие значения:
   • Установите для параметра Field 2 значение Object.
   • Установите для параметра Field 3 значение Return_Code.
7. Нажмите на кнопку OK.
8. Подтвердите запрос на развертывание.