Шаг 8 (необязательный). Создание уведомлений о входящих сервисных событиях
11 апреля 2024
ID 196829
Для создания уведомлений о проблемах с Kaspersky CyberTrace можно настроить правила информационных сообщений.
Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в QRadar, выполните следующие действия:
- Запустите QRadar Console.
- Выберите любую из вкладок: Offenses, Log Activity или Network Activity, затем выберите Rules.
- В раскрывающемся списке Actions выберите New Event Rule.
Страница Rules
Откроется страница Rule Wizard.
- На странице Rule Wizard нажмите кнопку Next, чтобы выбрать источник, из которого требуется создать правило.
Окно Rules Wizard
- Выберите Events, затем нажмите Next.
- На странице Rule Test Stack Editor выполните следующие действия:
- Добавьте следующие тестовые условия для нового правила:
when the event(s) were detected by one or more of these log sources
when the event matches this search filter
- Для каждого указанного условия задайте логический оператор
and
. - Для условия
when the event(s) were detected by one or more of these log sources
задайте источник журналов (Log Source)KL_Threat_Feed_Service_v2
. Если этот источник событий отсутствует, добавьте Kaspersky CyberTrace Service в качестве источника журналов. - Для условия
when the event matches this search filter
задайте фильтр для сравнения имени события (Event Name) со значением имени источника событий, для этого выполните следующие действия:- В списке полей событий выберите Event Name.
- В списке условий выберите Equals.
- Нажмите кнопку Browse и выберите имя сервисного события, для которого создается правило.
Добавление фильтров
- Нажмите на кнопку Add+, затем Submit.
Если необходимое событие отсутствует, добавьте его в список идентификаторов QRadar Identifier (QID).
- Введите имя правила и выберите способ применения этого правила к входящим событиям (Local или Global). Дополнительная информация о правилах Local и Global приведена в документации IBM.
- Выберите группу, необходимую для правила.
- Добавьте описание правила.
Окно Rule Editor
- Нажмите на кнопку Next.
- Добавьте следующие тестовые условия для нового правила:
- На странице Rule Response выполните следующие действия:
- Выберите Notify.
- При необходимости задайте ограничение на срабатывание правила в разделе Response Limiter.
- Проверьте раздел Enable Rule.
Страница Rule Editor
- Нажмите на кнопку Next.
- На странице Rule Summary убедитесь, что все настройки заданы правильно, и нажмите на кнопку Finish.
Страница Rule Summary
Правило добавляется в список Rules.
Список Rules
Добавленное правило генерирует уведомление о входящем сервисном событии. Для просмотра этих уведомлений можно нажать на раскрывающийся список Messages. Кроме того, уведомления отображаются в QRadar Console в виде всплывающих уведомлений.
Раскрывающийся список Messages
Настроить отображение уведомлений можно на вкладке Dashboard.
Системные уведомления на вкладке Dashboard
Чтобы настроить отображение уведомлений на вкладке Dashboard, выполните следующие действия:
- Выберите вкладку Dashboard.
- В раскрывающемся списке Add Item выберите System Notifications.
Добавление системных уведомлений на вкладку Dashboard