Шаг 1. Добавление пользовательского типа источника журналов
11 апреля 2024
ID 183784
В этом разделе описывается, порядок добавления в LogRhythm типа источника журнала Kaspersky CyberTrace.
Чтобы добавить тип источника журнала Kaspersky CyberTrace в LogRhythm, выполните следующие действия:
- Запустите LogRhythm Console.
- Выберите Deployment Manager > Tools > Knowledge > Log Source Type Manager.
Откроется окно Log Source Type Manager.
Окно Log Source Type Manager
- Нажмите на кнопку New ().
- В открывшемся окне Log Source Type Properties введите следующие данные:
Поле
Данные
Name
Kaspersky CyberTrace
Full name
Kaspersky CyberTrace
Abbreviation
CyberTrace
Log Format
Syslog
Brief Description
Kaspersky CyberTrace is an application set that allows you to check URLs, IP addresses, and hashes of files contained in events that arrive in a SIEM.
Окно Log Source Type Properties
Также рекомендуется указать имя источника в поле Имя, как описано в таблице выше. В противном случае импорт правил и событий Kaspersky CyberTrace будет выполнен некорректно. В этом случае необходимо добавить события Kaspersky CyberTrace и соответствующие правила MPE вручную, как описано на шаге 3 и шаге 4 (обязательно следует указать имя источника журналов, похожее на имя, ранее введенное в окне Log Source Type Properties).
- Нажмите на кнопку OK.
Новый тип источника журналов появится в окне Log Source Type Manager.
- Запишите или запомните значение в столбце Log Source Type ID. Он понадобится на шаге 2 для импорта правил и событий Kaspersky CyberTrace.
Тип источника журналов Kaspersky CyberTrace