Настройка Kaspersky CyberTrace для интеграции с McAfee Enterprise Security Manager

Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с McAfee Enterprise Security Manager

Настройка Kaspersky CyberTrace для интеграции с McAfee Enterprise Security Manager

11 апреля 2024

ID 183459

В этом разделе описывается порядок настройки Kaspersky CyberTrace для интеграции с McAfee ESM.

Чтобы настроить Kaspersky CyberTrace для интеграции с McAfee ESM, выполните следующие действия:

Загрузите Kaspersky CyberTrace со страницы https://support.kaspersky.com/datafeeds/download/15920.
Установка Kaspersky CyberTrace.
При первом входе в веб-интерфейс Kaspersky CyberTrace открывается окно мастера первоначальной настройки. Задайте следующие настройки:
1. Выберите Other в поле SIEM и нажмите Next.
2. В открывшемся окне Connection Settings укажите следующее:
  - IP-адрес и порт, на котором Kaspersky CyberTrace будет прослушивать входящие события;
  - IP-адрес и порт McAfee ESM, на который Kaspersky CyberTrace будет отправлять события обнаружения и оповещения.
    В случае McAfee ESM это порт 514.
  Нажмите на кнопку Next.
3. При необходимости укажите параметры подключения к прокси-серверу в окне Proxy Settings.
4. Выполните оставшиеся шаги первоначальной настройки требуемым образом.

На вкладке Settings > Matching нажмите кнопку Edit default rules, выберите вкладку Regular expressions и укажите следующие регулярные выражения:

Регулярные выражения для интеграции с McAfee ESM

Тип индикатора	Имя правила	Регулярное выражение	Дополнительные параметры
CONTEXT	Device	deviceExternalId\=(.*?)\s
CONTEXT	DeviceAction	act\=(.*?)\s
CONTEXT	DeviceIp	deviceTranslatedAddress\=(.*?)\s
HASH	RE_HASH	([\da-fA-F]{32,64})	Extract all: True
IP	RE_IP	dst\=(.*?)\s
URL	RE_URL	(?:\:\/\/)((?:\S+(?::\S)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-)[a-z\x{00a1}-\x{ffff}0-9])(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)+[a-z\x{00a1}-\x{ffff}0-9]++)(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]{2,}+)))(?:\.:\d{2,5})?+(?:\.\/[^\s\"\<\>]*+)?+)	Extract all: True
IP	SRC_IP	src\=(.*?)\s
CONTEXT	UserName	duser\=(.*?)\s

На вкладке Normalization rules укажите следующие правила замены:

Правило замены для интеграции с McAfee ESM
Сохраните изменения.

Выберите Settings > Events format, а затем укажите следующие форматы:

Формат событий для интеграции с McAfee ESM

Поле	Значение
Формат оповещений о событиях	`Kaspersky CyberTrace Service Event\| date=%Date% alert=%Alert% msg:%RecordContext%`
Формат событий обнаружения	`Kaspersky CyberTrace Detection Event\| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%`
Формат контекста записей	`%ParamName%=%ParamValue%` Обратите внимание на пробел перед `%ParamName%`.
Формат полей контекста	`%ParamName%:%ParamValue%` Обратите внимание на пробел перед `%ParamName%`.

Сохраните изменения.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!