Просмотр событий Kaspersky CyberTrace в AlienVault USM / OSSIM
11 апреля 2024
ID 183923
В этом разделе описано, как просматривать события Kaspersky CyberTrace в AlienVault USM / OSSIM.
Чтобы просмотреть события Kaspersky CyberTrace в веб-интерфейсе AlienVault USM / OSSIM, выполните следующие действия:
- В браузере откройте веб-интерфейс AlienVault USM / OSSIM.
- Выберите Analysis > Security events (SIEM).
- В раскрывающемся списке Data Sources выберите Kaspersky CyberTrace.
AlienVault USM / OSSIM покажет события, полученные из Kaspersky CyberTrace.
События, полученные из Kaspersky CyberTrace
AlienVault USM / OSSIM показывает события Kaspersky CyberTrace двух типов, которые указаны в столбце Event Name списка событий:
- Сервисные события
Нажмите на кнопку в последнем столбце таблицы. Для событий службы отображаются следующие данные (как показано на рисунке ниже):
- Поле Userdata1 содержит само событие службы.
- Поле Userdata2 содержит контекст события, если таковой имеется.
- События обнаружений киберугроз
Нажмите на кнопку в последнем столбце таблицы. Для событий обнаружения отображаются следующие данные (как показано на рисунке ниже):
- Поле Userdata1 содержит поток данных об угрозах, который использовался в процессе обнаружения.
- Поле Userdata2 содержит обнаруженный индикатор.
- Поле Userdata3 содержит контекст записи потока данных об угрозах, которая использовалась в процессе обнаружения.
Поле Userdata3 содержит до 1024 символов, поэтому оно может не содержать весь контекст. Все событие (включая контекст) содержится в поле RAW LOG.
Данные события обнаружения