Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с McAfee Enterprise Security Manager

Парсинг событий службы Kaspersky CyberTrace в McAfee Enterprise Security Manager

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Парсинг событий службы Kaspersky CyberTrace в McAfee Enterprise Security Manager

11 апреля 2024

ID 183379

В этом разделе описано, как выполнять парсинг событий службы Kaspersky CyberTrace, имеющих следующий формат:

Kaspersky CyberTrace Service Event| date=%Date% alert=%Alert% msg:%RecordContext%

Обратите внимание, что при изменении формата событий службы необходимо изменить правила парсинга событий службы в McAfee Enterprise Security Manager.

Для парсинга события службы введите следующие данные в диалоговом окне Advanced Syslog Parser Rule:

  1. В главном окне McAfee Enterprise Security Manager нажмите Configuration.
  2. В дереве Physical Display выберите устройство-получатель и нажмите Add Data Source.

    Кнопка Add Data Source в McAfee.

    Добавление источника данных

    Откроется диалоговое окно Add Data Source.

  3. В диалоговом окне Add Data Source введите следующие данные:
    • Data Source Vendor: Generic
    • Data Source Model: Advanced Syslog Parser
    • Data Format: Default
    • Data Retrieval: SYSLOG (Default)
    • Enabled: Parsing
    • Имя: Kaspersky CyberTrace
    • IP: IP-адрес сервера, с которого Kaspersky CyberTrace будет отправлять события.
    • Syslog Relay: None
    • Mask: 0
    • Require syslog TLS: снят
    • Port: 514
    • Support Generic Syslogs: Log "unknown syslog" event

      McAfee Enterprise Security Manager получает все события из Kaspersky CyberTrace. Если McAfee Enterprise Security Manager не может выполнить парсинг события, оно отображается как неизвестное.

    • Time Zone: выберите нужный часовой пояс
    • Encoding: None

    Окно Edit Data Source в McAfee.

    Конфигурация источника данных

  4. (Необязательно) Нажмите Advanced, чтобы указать параметры источника данных в диалоговом окне Advanced options.
  5. Нажмите на кнопку OK.

    McAfee ESM предложит развернуть установленную политику.

    Окно развертывания в McAfee.

    Диалоговое окно развертывания

  6. Выберите Kaspersky CyberTrace, а затем нажмите кнопку Policy Editor на панели инструментов.

    Кнопка Policy Editor в McAfee.

    Выбор в Policy Editor

  7. В окне Policy Editor выберите тип правил Advanced Syslog Parser Rules.
  8. Нажмите NewAdvanced Syslog Parser Rule.

    Пункт меню New → Advanced Syslog Parser Rule в McAfee.

    Окно Policy Editor

  9. Чтобы создать парсер для анализа событий обновления потока данных, введите следующие данные в диалоговом окне Advanced Syslog Parser Rule:
    • На вкладке General введите следующие данные:
      • Name: Kaspersky_CyberTrace_ServiceEvent
      • Tags: выберите теги, определяющие правило (они будут использоваться при фильтрации событий)
      • Rule Assignment Type: User Defined 1 или другой определяемый пользователем тип
      • Description: событие службы Kaspersky Lab CyberTrace
    • На вкладке Parsing введите следующие данные:
      • Provide content strings: событие службы Kaspersky CyberTrace
      • Sample Log Data: предоставьте пример события обновления потока данных. Например (в одну строку, без символов новой строки):

        Kaspersky CyberTrace Service Event| date=Apr 17 19:08:28 alert=KL_ALERT_UpdatedFeed msg:feed=Demo_Botnet_CnC_URL_Data_Feed.json records=3907

      • Добавьте следующие регулярные выражения на вкладке Parsing:

    Имя

    Регулярное выражение

    ct_service_name

    alert\=(\S+)(?=\s)

    ct_context

    (msg.*)(?=$)

    ct_date

    date\=(\S+\s\d+\s\S+)

    Вкладка Parsing в McAfee.

    Вкладка Parsing

    • На вкладке Field Assignment введите следующие данные:

    Поле

    Выражение

    Action

    "0"

    Описание

    Перетащите ct_context в это поле

    Severity

    "60" или другое значение по вашему выбору

    Return_Code

    Перетащите ct_service_name в это поле

    First Time

    Перетащите ct_date в это поле

    Вкладка Field Assignment в McAfee.

    Вкладка Field Assignment

    Вы можете добавить другие поля, нажав на кнопку +.

    • На вкладке Mapping введите следующие данные:
      • В таблице временных данных:

    Формат времени

    Поля времени

    %b %d %H:%M:%S

    First Time
    • В таблице действий:

    Ключ действия

    Значение действия

    0

    Success
    • В таблице важности:

    Ключ важности

    Значение важности

    60

    60

    Вкладка Mapping в McAfee.

    Вкладка Mapping

  10. Нажмите Finish, чтобы сохранить политику.
  11. В списке Default Policy выберите устройство Kaspersky CyberTrace, а затем включите правило Kaspersky_CyberTrace_ServiceEvent.

    Пункт контекстного меню Enabled в McAfee.

    Включение правила

  12. Выберите File > Save, чтобы сохранить текущее состояние.
  13. Выберите Operations > Rollout, чтобы развернуть политику.

    Пункт меню Operations → Rollout в McAfee.

    Развертывание политики

  14. В ответ на запрос согласитесь на повторную инициализацию устройства Kaspersky CyberTrace в McAfee ESM.
  15. Выберите пункт меню Operations > Modify Aggregation Settings, чтобы изменить правила агрегирования событий службы Kaspersky CyberTrace.
  16. В окне Modify Aggregation Settings в поле Field 2 задайте значение Return_Code и нажмите кнопку OK.

    Окно Modify Aggregation Settings в McAfee.

    Modify Aggregation Settings

  17. Подтвердите запрос на развертывание.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!