Шаг 1. Добавление пользовательского типа источника журналов

В этом разделе описывается, порядок добавления в LogRhythm типа источника журнала Kaspersky CyberTrace.

Чтобы добавить тип источника журнала Kaspersky CyberTrace в LogRhythm, выполните следующие действия:

1. Запустите LogRhythm Console.
2. Выберите Deployment Manager > Tools > Knowledge > Log Source Type Manager.

   Откроется окно Log Source Type Manager.

   

   Окно Log Source Type Manager

3. Нажмите на кнопку New ().
4. В открывшемся окне Log Source Type Properties введите следующие данные:

   Поле	Данные
   Name	Kaspersky CyberTrace
   Full name	Kaspersky CyberTrace
   Abbreviation	CyberTrace
   Log Format	Syslog
   Brief Description	Kaspersky CyberTrace is an application set that allows you to check URLs, IP addresses, and hashes of files contained in events that arrive in a SIEM.

   

   Окно Log Source Type Properties

   Также рекомендуется указать имя источника в поле Имя, как описано в таблице выше. В противном случае импорт правил и событий Kaspersky CyberTrace будет выполнен некорректно. В этом случае необходимо добавить события Kaspersky CyberTrace и соответствующие правила MPE вручную, как описано на шаге 3 и шаге 4 (обязательно следует указать имя источника журналов, похожее на имя, ранее введенное в окне Log Source Type Properties).

5. Нажмите на кнопку OK.

   Новый тип источника журналов появится в окне Log Source Type Manager.

6. Запишите или запомните значение в столбце Log Source Type ID. Он понадобится на шаге 2 для импорта правил и событий Kaspersky CyberTrace.

   

   Тип источника журналов Kaspersky CyberTrace