Настройка Kaspersky CyberTrace для интеграции с McAfee Enterprise Security Manager
11 апреля 2024
ID 183459
В этом разделе описывается порядок настройки Kaspersky CyberTrace для интеграции с McAfee ESM.
Чтобы настроить Kaspersky CyberTrace для интеграции с McAfee ESM, выполните следующие действия:
- Загрузите Kaspersky CyberTrace со страницы https://support.kaspersky.com/datafeeds/download/15920.
- Установка Kaspersky CyberTrace.
- При первом входе в веб-интерфейс Kaspersky CyberTrace открывается окно мастера первоначальной настройки. Задайте следующие настройки:
- Выберите Other в поле SIEM и нажмите Next.
- В открывшемся окне Connection Settings укажите следующее:
- IP-адрес и порт, на котором Kaspersky CyberTrace будет прослушивать входящие события;
- IP-адрес и порт McAfee ESM, на который Kaspersky CyberTrace будет отправлять события обнаружения и оповещения.
В случае McAfee ESM это порт 514.
Нажмите на кнопку Next.
- При необходимости укажите параметры подключения к прокси-серверу в окне Proxy Settings.
- Выполните оставшиеся шаги первоначальной настройки требуемым образом.
- На вкладке Settings > Matching нажмите кнопку Edit default rules, выберите вкладку Regular expressions и укажите следующие регулярные выражения:
Регулярные выражения для интеграции с McAfee ESM
Тип индикатора
Имя правила
Регулярное выражение
Дополнительные параметры
CONTEXT
Device
deviceExternalId\=(.*?)\s
CONTEXT
DeviceAction
act\=(.*?)\s
CONTEXT
DeviceIp
deviceTranslatedAddress\=(.*?)\s
HASH
RE_HASH
([\da-fA-F]{32,64})
Extract all: True
IP
RE_IP
dst\=(.*?)\s
URL
RE_URL
(?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]{2,}+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)
Extract all: True
IP
SRC_IP
src\=(.*?)\s
CONTEXT
UserName
duser\=(.*?)\s
- На вкладке Normalization rules укажите следующие правила замены:
Правило замены для интеграции с McAfee ESM
- Сохраните изменения.
- Выберите Settings > Events format, а затем укажите следующие форматы:
Формат событий для интеграции с McAfee ESM
Поле
Значение
Формат оповещений о событиях
Kaspersky CyberTrace Service Event| date=%Date% alert=%Alert% msg:%RecordContext%
Формат событий обнаружения
Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%
Формат контекста записей
%ParamName%=%ParamValue%
Обратите внимание на пробел перед
%ParamName%
.Формат полей контекста
%ParamName%:%ParamValue%
Обратите внимание на пробел перед
%ParamName%
.Сохраните изменения.