Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства администратора

Работа с веб-интерфейсом Kaspersky CyberTrace

Настройка процесса сопоставления

Настройка источников событий с помощью пользовательских регулярных выражений

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Настройка источников событий с помощью пользовательских регулярных выражений

11 апреля 2024

ID 191628

В данном разделе описывается порядок добавления и настройки источников событий с пользовательскими регулярными выражениями.

Kaspersky CyberTrace отправляет сообщение об обнаруженной киберугрозе в SIEM в виде единого события. В это событие должна быть включена вся контекстная информация, необходимая для оценки и расследования киберугрозы, включая специфическую информацию для конкретных исходных источников событий. Этого можно добиться путем настройки источников событий и пользовательских регулярных выражений.

Повторите описанные ниже шаги для каждого имеющегося уникального источника событий.

Чтобы настроить источник событий с пользовательскими регулярными выражениями, выполните следующие действия:

  1. Создайте источник события, как описано в разделе Настройка процесса сопоставления.
  2. В дополнение к регулярным выражениям для индикаторов (URL, IP, MD5 и другие типы индикаторов) добавьте регулярные выражения типа CONTEXT. Регулярные выражения типа CONTEXT могут сопоставляться с любой полезной информацией, такой как идентификаторы событий, идентификаторы запросов, метки времени и др. Данная контекстная информация помогает при поиске необработанных событий в SIEM.
  3. Рекомендуется заменить универсальные регулярные выражения для индикаторов регулярными выражениями, соответствующими формату события, который использует данный источник событий. Регулярные выражения для многих популярных устройств описаны в разделе Регулярные выражения для популярных устройств.
  4. Добавьте все регулярные выражения типа CONTEXT в поле Detection events format. Для этого укажите имена всех регулярных выражений в формате событий обнаружений киберугроз с использованием шаблона %RegexpName%.

Пример

Источником событий в этом примере является источник McAfee Web Gateway.

Источник событий с пользовательскими регулярными выражениями настраивается следующим образом:

  1. Создайте новый источник событий.

    Данный источник отправляет журналы событий из SIEM-системы, поэтому добавить этот источник событий по IP-адресу невозможно, поскольку у всех таких источников событий будет IP-адрес SIEM-системы. Вместо этого укажите регулярное выражение, которое будет идентифицировать данный источник событий на основе данных, содержащихся в событиях. Например, выражение может сопоставлять имя устройства или версию устройства, которые указываются в событиях. Обратите внимание: если источник событий отправляет события напрямую в Kaspersky CyberTrace, такой источник может быть идентифицирован по его IP-адресу.

    Раздел Add new event source в CyberTrace.

    Создание нового источника событий

  2. Начните сбор событий и получите несколько событий.

    Отображаются только те события, которые сопоставляются с регулярным выражением, указанным на предыдущем шаге.

    Допустим, что были получены события со следующими данными:

    McAfeeWG|time_stamp=[01/Jan/2015:02:12:31 +0800]|auth_user=jsmith|src_ip=10.10.69.1|server_ip=192.0.2.1|host=www.example.com|url_port=80|status_code=301|bytes_from_client=279|bytes_to_client=1149|categories=Business, Software/Hardware|rep_level=Minimal Risk|method=GET|url=http://www.example.com/|media_type=text/html|application_name=|user_agent=Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)|block_res=0|block_reason=|virus_name=|hash=|filename=|filesize=753|

    Окно Collecting events.

    Сбор событий

  3. Остановите сбор событий. Регулярные выражения для URL и IP-адресов будут заданы автоматически. При необходимости замените эти универсальные выражения специальными. Затем добавьте регулярные выражения типа CONTEXT.

    Для сопоставления имени пользователя, содержащегося в событиях, добавьте выражение с именем RE_USERNAME. Укажите следующее значение для выражения: auth_user\=(.*?)(?:\|)

    Для сопоставления исходного IP-адреса добавьте выражение с именем RE_SRCIP. Укажите следующее значение для выражения: src_ip\=(.*?)(?:\|)

    Для сопоставления URL добавьте выражение с именем RE_URL. Укажите следующее значение для выражения: url\=(.*?)(?:\|)

    Для сопоставления кода статуса HTTP добавьте выражение RE_HTTPCODE. Укажите следующее значение для выражения: status_code=(\d+)

    Окно Properties of McAfee в CyberTrace.

    Указание пользовательских регулярных выражений

  4. Укажите формат вывода событий, содержащий эти регулярные выражения:

    eventName=%Category% matchedIndicator=%MatchedIndicator% url=%RE_URL% src=%RE_SRCIP% ip=%RE_IP% http_code=%RE_HTTPCODE% usrName=%RE_USERNAME% %RecordContext%

    Окно Format of Kaspersky CyberTrace events.

    Указание формата вывода событий

После выполнения описанных выше действий события обнаружений киберугроз будут содержать поля контекста. Например, событие из Kaspersky CyberTrace может содержать следующую информацию:

device=McAfee eventName=KL_IP_Reputation matchedIndicator=192.0.2.1 url=- src=10.10.69.1 ip=192.0.2.1 http_code=301 category=test usrName=jsmith first_seen=01.01.2017 00:00 ip=192.0.2.1 ip_geo=ru last_seen=20.11.2019 10:02 popularity=1 threat_score=75

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!