Шаг 3 (необязательный). Добавление событий Kaspersky CyberTrace
11 апреля 2024
ID 183785
В этом разделе описывается порядок добавления событий Kaspersky CyberTrace в LogRhythm вручную.
Пропустите этот шаг, если импорт правил и событий Kaspersky CyberTrace выполнен успешно.
Чтобы добавить события Kaspersky CyberTrace в LogRhythm, выполните следующие действия:
- Запустите LogRhythm Console.
- Выберите Deployment Manager > Tools > Knowledge > Common Event Manager.
Пункт меню Common Event Manager
Откроется окно Common Event Manager.
- Добавьте события, указанные в таблицах ниже. Если используются не все коммерческие потоки данных об угрозах и потоки данных об угрозах «OSINT feed», некоторые события могут не понадобиться.
- События классификации
«Security : Compromise»
Событие
Описание
KL_APT_Hash_MD5
Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании.
KL_APT_Hash_SHA1
Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании.
KL_APT_Hash_SHA256
Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании.
KL_APT_IP
Kaspersky CyberTrace обнаруживает IP-адрес, используемый в APT-кампании.
KL_APT_URL
Kaspersky CyberTrace обнаруживает URL, используемый в APT-кампании.
KL_BotnetCnC_Hash_MD5
Kaspersky CyberTrace обнаруживает хеш ботнета.
KL_BotnetCnC_Hash_SHA1
Kaspersky CyberTrace обнаруживает хеш ботнета.
KL_BotnetCnC_Hash_SHA256
Kaspersky CyberTrace обнаруживает хеш ботнета.
KL_BotnetCnC_URL
Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) ботнета.
KL_ICS_Hash_MD5
Kaspersky CyberTrace обнаруживает хеш ICS.
KL_ICS_Hash_SHA1
Kaspersky CyberTrace обнаруживает хеш ICS.
KL_ICS_Hash_SHA256
Kaspersky CyberTrace обнаруживает хеш ICS.
KL_InternalTI_URL
URL списка InternalTI Kaspersky CyberTrace.
KL_InternalTI_IP
IP-адрес списка InternalTI Kaspersky CyberTrace.
KL_InternalTI_Hash_MD5
Хеш списка InternalTI Kaspersky CyberTrace.
KL_InternalTI_Hash_SHA1
Хеш списка InternalTI Kaspersky CyberTrace.
KL_InternalTI_Hash_SHA256
Хеш списка InternalTI Kaspersky CyberTrace.
KL_IoT_Hash_MD5
Kaspersky CyberTrace обнаруживает хеш IoT.
KL_IoT_Hash_SHA1
Kaspersky CyberTrace обнаруживает хеш IoT.
KL_IoT_Hash_SHA256
Kaspersky CyberTrace обнаруживает хеш IoT.
KL_IoT_URL
Kaspersky CyberTrace обнаруживает URL, заражающий устройства с поддержкой интернета вещей (IoT).
KL_IP_Reputation
Kaspersky CyberTrace обнаруживает вредоносный IP-адрес.
KL_IP_Reputation_Hash_MD5
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе.
KL_IP_Reputation_Hash_SHA1
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе.
KL_IP_Reputation_Hash_SHA256
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе.
KL_Malicious_URL
Kaspersky CyberTrace обнаруживает вредоносный URL.
KL_Malicious_URL_Hash_MD5
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL.
KL_Malicious_URL_Hash_SHA1
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL.
KL_Malicious_URL_Hash_SHA256
Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL.
KL_Malicious_Hash_MD5
Kaspersky CyberTrace обнаруживает вредоносный хеш.
KL_Malicious_Hash_SHA1
Kaspersky CyberTrace обнаруживает вредоносный хеш.
KL_Malicious_Hash_SHA256
Kaspersky CyberTrace обнаруживает вредоносный хеш.
KL_Mobile_Malicious_Hash_MD5
Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш.
KL_Mobile_Malicious_Hash_SHA1
Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш.
KL_Mobile_Malicious_Hash_SHA256
Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш.
KL_Mobile_BotnetCnC_Hash_MD5
Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета.
KL_Mobile_BotnetCnC_Hash_SHA1
Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета.
KL_Mobile_BotnetCnC_Hash_SHA256
Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета.
KL_Mobile_BotnetCnC_URL
Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) мобильного ботнета.
KL_Phishing_URL
Kaspersky CyberTrace обнаруживает фишинговый URL.
KL_Ransomware_URL
Kaspersky CyberTrace обнаруживает URL, на котором размещена программа-вымогатель.
KL_Ransomware_URL_Hash_MD5
Kaspersky CyberTrace обнаруживает хеш программы-вымогателя.
KL_Ransomware_URL_Hash_SHA1
Kaspersky CyberTrace обнаруживает хеш программы-вымогателя.
KL_Ransomware_URL_Hash_SHA256
Kaspersky CyberTrace обнаруживает хеш программы-вымогателя.
AbuseCh_Feodo_Block_IP
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Feodo_Block_IP.
AbuseCh_Ransomware_Block_URL
Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Block_URL.
AbuseCh_Ransomware_Block_Domain
Kaspersky CyberTrace обнаруживает домен из потока данных об угрозах Abuse.Ch_Ransomware_Block_Domain.
AbuseCh_Ransomware_Block_IP
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Ransomware_Block_IP.
AbuseCh_Ransomware_Common_URL
Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Common_URL.
AbuseCh_SSL_Certificate_Block_IP
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах AbuseCh_SSL_Certificate_Block_IP.
AbuseCh_SSL_Certificate_Hash_SHA1
Kaspersky CyberTrace обнаруживает хеш из потока данных об угрозах AbuseCh_SSL_Certificate_Hash_SHA1.
BlocklistDe_Block_IP
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах BlocklistDe_Block_IP.
CyberCrime_Tracker_Block_Url
Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах CyberCrime_Tracker_Block_Url.
EmergingThreats_Block_IP
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Block_IP.
EmergingThreats_Compromised_IP
Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Compromised_IP.
- Оповещения о событиях:
Событие
Описание
Классификация
KL_ALERT_ConfigurationUpdated
Это оповещение генерируется, если Kaspersky CyberTrace Service перезагрузил конфигурационный файл.
Audit : Configuration
KL_ALERT_FeedBecameAvailable
Это оповещение генерируется, если стал доступен поток данных об угрозах, который можно использовать с текущим сертификатом.
Audit : Other Audit Success
KL_ALERT_FeedBecameUnavailable
Это оповещение генерируется, если стал недоступен поток данных об угрозах, который используется с текущим сертификатом.
Audit : Other Audit Failure
KL_ALERT_OutdatedFeed
Это оповещение генерируется, если поток данных об угрозах не обновлялся в течение заданного периода.
Audit : Other Audit Failure
KL_ALERT_ServiceUnavailable
Это событие генерируется при аварийном завершении или зависании Kaspersky CyberTrace Service.
Audit : Other Audit Failure
KL_ALERT_ServiceStopped
Это оповещение генерируется при успешной остановке Kaspersky CyberTrace Service.
Audit : Startup and Shutdown
KL_ALERT_ServiceStarted
Это оповещение генерируется при успешном запуске Kaspersky CyberTrace Service.
Audit : Startup and Shutdown
KL_ALERT_UpdatedFeed
Это оповещение генерируется при обновлении и загрузке потока данных об угрозах в Kaspersky CyberTrace Service.
Audit : Other Audit Success
KL_ALERT_FailedToUpdateFeed
Это событие генерируется, когда Kaspersky CyberTrace Service не удается загрузить новый поток данных об угрозах (например, из-за ограничения на количества индикаторов, налагаемого лицензионным ключом), и продолжается использование старого потока данных об угрозах.
Audit : Other Audit Failure
KL_ALERT_LicenseExpires
Это оповещение генерируется для информирования о том, что используемый лицензионный ключ истечет менее чем через 30 дней.
Audit : Policy
KL_ALERT_LicenseExpired
Это событие генерируется, когда истекает срок действия лицензионного ключа.
Audit : Policy
KL_ALERT_EPSLimitExceeded
Это оповещение генерируется, когда оказывается превышен лимит на количество обрабатываемых событий в секунду (EPS), установленный лицензионным ключом или уровнем лицензирования.
Audit : Policy
KL_ALERT_EPSHardLimit
Это событие генерируется, когда Kaspersky CyberTrace Service ограничивает количество обрабатываемых событий в секунду (EPS) до максимального количества событий для текущего лицензионного ключа или уровня лицензирования. У этого оповещения есть следующие поля контекста:
Audit : Policy
KL_ALERT_LicenseChanged
Это оповещение генерируется, когда Kaspersky CyberTrace начинает использовать другой лицензионный ключ или другой уровень лицензирования.
Audit : Configuration
KL_ALERT_RetroScanError
Это оповещение генерируется при отказе задачи ретроспективного сканирования.
Audit : Other Audit Failure
KL_ALERT_RetroScanCompleted
Это оповещение генерируется при успешном выполнении задачи ретроспективного сканирования.
Audit : Other Audit Success
KL_ALERT_RetroScanStorageExceeded
Это оповещение генерируется при превышении ограничения на размер сохраняемых событий.
Audit : Policy
KL_ALERT_IndicatorsStoreLimitExceeded
Это оповещение генерируется при превышении ограничения на размер сохраняемых индикаторов.
Audit : Policy
KL_ALERT_IndicatorsStoreHardLimit
Это событие генерируется, когда Kaspersky CyberTrace ограничивает добавление и обновление индикаторов.
Audit : Policy
KL_ALERT_FreeSpaceEnds
Это оповещение генерируется, когда на диске остается мало свободного места.
Audit : Policy
Оповещения о событиях могут содержать поля контекста, как описано в разделе об оповещениях о событиях Kaspersky CyberTrace.
Окно Common Event Properties
- События классификации
После добавления событий окно Common Event Manager должно содержать события, как показано на рисунке ниже.
Добавленные события