Шаг 3 (необязательный). Добавление событий Kaspersky CyberTrace

В этом разделе описывается порядок добавления событий Kaspersky CyberTrace в LogRhythm вручную.

Пропустите этот шаг, если импорт правил и событий Kaspersky CyberTrace выполнен успешно.

Чтобы добавить события Kaspersky CyberTrace в LogRhythm, выполните следующие действия:

1. Запустите LogRhythm Console.
2. Выберите Deployment Manager > Tools > Knowledge > Common Event Manager.

   

   Пункт меню Common Event Manager

   Откроется окно Common Event Manager.

3. Добавьте события, указанные в таблицах ниже. Если используются не все коммерческие потоки данных об угрозах и потоки данных об угрозах «OSINT feed», некоторые события могут не понадобиться.
   • События классификации «Security : Compromise»

   Событие	Описание
   KL_APT_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании.
   KL_APT_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании.
   KL_APT_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании.
   KL_APT_IP	Kaspersky CyberTrace обнаруживает IP-адрес, используемый в APT-кампании.
   KL_APT_URL	Kaspersky CyberTrace обнаруживает URL, используемый в APT-кампании.
   KL_BotnetCnC_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш ботнета.
   KL_BotnetCnC_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш ботнета.
   KL_BotnetCnC_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш ботнета.
   KL_BotnetCnC_URL	Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) ботнета.
   KL_ICS_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш ICS.
   KL_ICS_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш ICS.
   KL_ICS_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш ICS.
   KL_InternalTI_URL	URL списка InternalTI Kaspersky CyberTrace.
   KL_InternalTI_IP	IP-адрес списка InternalTI Kaspersky CyberTrace.
   KL_InternalTI_Hash_MD5	Хеш списка InternalTI Kaspersky CyberTrace.
   KL_InternalTI_Hash_SHA1	Хеш списка InternalTI Kaspersky CyberTrace.
   KL_InternalTI_Hash_SHA256	Хеш списка InternalTI Kaspersky CyberTrace.
   KL_IoT_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш IoT.
   KL_IoT_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш IoT.
   KL_IoT_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш IoT.
   KL_IoT_URL	Kaspersky CyberTrace обнаруживает URL, заражающий устройства с поддержкой интернета вещей (IoT).
   KL_IP_Reputation	Kaspersky CyberTrace обнаруживает вредоносный IP-адрес.
   KL_IP_Reputation_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе.
   KL_IP_Reputation_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе.
   KL_IP_Reputation_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе.
   KL_Malicious_URL	Kaspersky CyberTrace обнаруживает вредоносный URL.
   KL_Malicious_URL_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL.
   KL_Malicious_URL_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL.
   KL_Malicious_URL_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL.
   KL_Malicious_Hash_MD5	Kaspersky CyberTrace обнаруживает вредоносный хеш.
   KL_Malicious_Hash_SHA1	Kaspersky CyberTrace обнаруживает вредоносный хеш.
   KL_Malicious_Hash_SHA256	Kaspersky CyberTrace обнаруживает вредоносный хеш.
   KL_Mobile_Malicious_Hash_MD5	Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш.
   KL_Mobile_Malicious_Hash_SHA1	Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш.
   KL_Mobile_Malicious_Hash_SHA256	Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш.
   KL_Mobile_BotnetCnC_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета.
   KL_Mobile_BotnetCnC_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета.
   KL_Mobile_BotnetCnC_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета.
   KL_Mobile_BotnetCnC_URL	Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) мобильного ботнета.
   KL_Phishing_URL	Kaspersky CyberTrace обнаруживает фишинговый URL.
   KL_Ransomware_URL	Kaspersky CyberTrace обнаруживает URL, на котором размещена программа-вымогатель.
   KL_Ransomware_URL_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш программы-вымогателя.
   KL_Ransomware_URL_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш программы-вымогателя.
   KL_Ransomware_URL_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш программы-вымогателя.
   AbuseCh_Feodo_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Feodo_Block_IP.
   AbuseCh_Ransomware_Block_URL	Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Block_URL.
   AbuseCh_Ransomware_Block_Domain	Kaspersky CyberTrace обнаруживает домен из потока данных об угрозах Abuse.Ch_Ransomware_Block_Domain.
   AbuseCh_Ransomware_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Ransomware_Block_IP.
   AbuseCh_Ransomware_Common_URL	Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Common_URL.
   AbuseCh_SSL_Certificate_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах AbuseCh_SSL_Certificate_Block_IP.
   AbuseCh_SSL_Certificate_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш из потока данных об угрозах AbuseCh_SSL_Certificate_Hash_SHA1.
   BlocklistDe_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах BlocklistDe_Block_IP.
   CyberCrime_Tracker_Block_Url	Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах CyberCrime_Tracker_Block_Url.
   EmergingThreats_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Block_IP.
   EmergingThreats_Compromised_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Compromised_IP.

   • Оповещения о событиях:

   Событие	Описание	Классификация
   KL_ALERT_ConfigurationUpdated	Это оповещение генерируется, если Kaspersky CyberTrace Service перезагрузил конфигурационный файл.	Audit : Configuration
   KL_ALERT_FeedBecameAvailable	Это оповещение генерируется, если стал доступен поток данных об угрозах, который можно использовать с текущим сертификатом.	Audit : Other Audit Success
   KL_ALERT_FeedBecameUnavailable	Это оповещение генерируется, если стал недоступен поток данных об угрозах, который используется с текущим сертификатом.	Audit : Other Audit Failure
   KL_ALERT_OutdatedFeed	Это оповещение генерируется, если поток данных об угрозах не обновлялся в течение заданного периода.	Audit : Other Audit Failure
   KL_ALERT_ServiceUnavailable	Это событие генерируется при аварийном завершении или зависании Kaspersky CyberTrace Service.	Audit : Other Audit Failure
   KL_ALERT_ServiceStopped	Это оповещение генерируется при успешной остановке Kaspersky CyberTrace Service.	Audit : Startup and Shutdown
   KL_ALERT_ServiceStarted	Это оповещение генерируется при успешном запуске Kaspersky CyberTrace Service.	Audit : Startup and Shutdown
   KL_ALERT_UpdatedFeed	Это оповещение генерируется при обновлении и загрузке потока данных об угрозах в Kaspersky CyberTrace Service.	Audit : Other Audit Success
   KL_ALERT_FailedToUpdateFeed	Это событие генерируется, когда Kaspersky CyberTrace Service не удается загрузить новый поток данных об угрозах (например, из-за ограничения на количества индикаторов, налагаемого лицензионным ключом), и продолжается использование старого потока данных об угрозах.	Audit : Other Audit Failure
   KL_ALERT_LicenseExpires	Это оповещение генерируется для информирования о том, что используемый лицензионный ключ истечет менее чем через 30 дней.	Audit : Policy
   KL_ALERT_LicenseExpired	Это событие генерируется, когда истекает срок действия лицензионного ключа.	Audit : Policy
   KL_ALERT_EPSLimitExceeded	Это оповещение генерируется, когда оказывается превышен лимит на количество обрабатываемых событий в секунду (EPS), установленный лицензионным ключом или уровнем лицензирования.	Audit : Policy
   KL_ALERT_EPSHardLimit	Это событие генерируется, когда Kaspersky CyberTrace Service ограничивает количество обрабатываемых событий в секунду (EPS) до максимального количества событий для текущего лицензионного ключа или уровня лицензирования. У этого оповещения есть следующие поля контекста:	Audit : Policy
   KL_ALERT_LicenseChanged	Это оповещение генерируется, когда Kaspersky CyberTrace начинает использовать другой лицензионный ключ или другой уровень лицензирования.	Audit : Configuration
   KL_ALERT_RetroScanError	Это оповещение генерируется при отказе задачи ретроспективного сканирования.	Audit : Other Audit Failure
   KL_ALERT_RetroScanCompleted	Это оповещение генерируется при успешном выполнении задачи ретроспективного сканирования.	Audit : Other Audit Success
   KL_ALERT_RetroScanStorageExceeded	Это оповещение генерируется при превышении ограничения на размер сохраняемых событий.	Audit : Policy
   KL_ALERT_IndicatorsStoreLimitExceeded	Это оповещение генерируется при превышении ограничения на размер сохраняемых индикаторов.	Audit : Policy
   KL_ALERT_IndicatorsStoreHardLimit	Это событие генерируется, когда Kaspersky CyberTrace ограничивает добавление и обновление индикаторов.	Audit : Policy
   KL_ALERT_FreeSpaceEnds	Это оповещение генерируется, когда на диске остается мало свободного места.	Audit : Policy

   Оповещения о событиях могут содержать поля контекста, как описано в разделе об оповещениях о событиях Kaspersky CyberTrace.

   

   Окно Common Event Properties

После добавления событий окно Common Event Manager должно содержать события, как показано на рисунке ниже.

Добавленные события