Парсинг событий обнаружения Kaspersky CyberTrace в McAfee Enterprise Security Manager
11 апреля 2024
ID 183378
В этом разделе описано, как выполнять парсинг событий обнаружения Kaspersky CyberTrace, имеющих следующий формат:
Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%
Обратите внимание, что, если вы меняете формат событий обнаружения Kaspersky CyberTrace, вам необходимо изменить правила парсера Kaspersky CyberTrace в McAfee Enterprise Security Manager.
Для парсинга события обнаружения введите следующие данные в диалоговом окне Advanced Syslog Parser Rule:
- На вкладке General введите следующие данные:
- Name:
Kaspersky_CyberTrace_DetectionEvent
- Tags: выберите теги, определяющие правило (они будут использоваться при фильтрации событий)
- Rule Assignment Type: User Defined 1
- Description: событие обнаружения Kaspersky CyberTrace
- Name:
- На вкладке Parsing введите следующие данные:
- Provide content strings: событие обнаружения Kaspersky CyberTrace
- Sample Log Data: предоставьте пример события обнаружения URL. Например:
Kaspersky CyberTrace Detection Event| date=Oct 12 16:13:23 reason=KL_BotnetCnC_URL detected=http://fakess123bn.nu act=REQUEST_URL dst=192.168.1.0 src=192.168.2.0 hash=776735A8CA96DB15B422879DA599F474 request=http://fakess123bn.nu dvc=192.168.3.0 sourceServiceName=FireWall suser=UserName msg:popularity=5 geo=vn, in, mx threat=Trojan.Win32.Waldek
- Добавьте следующие регулярные выражения для парсинга событий:
Имя
Регулярное выражение
ct_date
date\=(\S+\s\d+\s\S+)
ct_reason
reason\=(.*)\sdetected
ct_indicator
detected\=(.*)\sact
ct_dev_action
act\=(.*)\sdst
ct_dst
dst\=(\S+)
ct_src
src\=(\S+)
ct_hash
hash\=(\S+)
ct_request
request\=(.*)\sdvc
ct_dev_ip
dvc\=(\S+)
ct_serviceName
sourceServiceName\=(.*)\ssuser
ct_username
suser\=(.*?)\smsg
ct_context
msg\:(.*)$
- На вкладке Field Assignment введите следующие данные:
Поле
Выражение
Action
"0"
First Time
Перетащите
ct_date
в это полеURL
Перетащите
ct_request
в это полеDestination IP
Перетащите
ct_dst
в это полеDevice_Action
Перетащите
ct_dev_action
в это полеHash
Перетащите
ct_hash
в это полеHost
Перетащите
ct_dev_ip
в это полеMessage_Text
Перетащите
ct_context
в это полеObject
Перетащите
ct_indicator
в это полеReturn_Code
Перетащите
ct_reason
в это полеService_Name
Перетащите
ct_serviceName
в это полеSeverity
"80"
Source IP
Перетащите
ct_src
в это полеSource User
Перетащите
ct_username
в это полеMcAfee ESM переименовывает поле
Object
вObjectID
.- На вкладке Mapping введите следующие данные:
- В таблице временных данных используйте следующие данные:
Формат времени
Поля времени
%b %d %H:%M:%S
First Time
- В таблице действий используйте следующие данные:
Ключ действия
Значение действия
0
Success
- В таблице важности используйте следующие данные:
Ключ важности
Значение важности
80
80
Указав приведенные выше значения, выполните следующие действия.
- В списке Default Policy выберите устройство
Kaspersky CyberTrace
, а затем включите правилоKaspersky_CyberTrace_DetectionEvent
. - Выберите File > Save, чтобы сохранить текущее состояние.
- Выберите Operations > Rollout, чтобы развернуть политику.
- Повторно инициализируйте устройство
Kaspersky CyberTrace
. - Выберите Operations > Modify Aggregation Settings, чтобы изменить правила агрегирования событий службы Kaspersky CyberTrace.
Откроется диалоговое окно Modify Aggregation Settings.
- Укажите следующие значения:
- Установите для параметра
Field 2
значениеObject
. - Установите для параметра
Field 3
значениеReturn_Code
.
- Установите для параметра
- Нажмите на кнопку OK.
- Подтвердите запрос на развертывание.