Шаг 8 (необязательный). Создание уведомлений о входящих сервисных событиях

Для создания уведомлений о проблемах с Kaspersky CyberTrace можно настроить правила информационных сообщений.

Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в QRadar, выполните следующие действия:

1. Запустите QRadar Console.
2. Выберите любую из вкладок: Offenses, Log Activity или Network Activity, затем выберите Rules.
3. В раскрывающемся списке Actions выберите New Event Rule.

   

   Страница Rules

   Откроется страница Rule Wizard.

4. На странице Rule Wizard нажмите кнопку Next, чтобы выбрать источник, из которого требуется создать правило.

   

   Окно Rules Wizard

5. Выберите Events, затем нажмите Next.
6. На странице Rule Test Stack Editor выполните следующие действия:
   • Добавьте следующие тестовые условия для нового правила:
     • when the event(s) were detected by one or more of these log sources
     • when the event matches this search filter
   • Для каждого указанного условия задайте логический оператор and.
   • Для условия when the event(s) were detected by one or more of these log sources задайте источник журналов (Log Source) KL_Threat_Feed_Service_v2. Если этот источник событий отсутствует, добавьте Kaspersky CyberTrace Service в качестве источника журналов.
   • Для условия when the event matches this search filter задайте фильтр для сравнения имени события (Event Name) со значением имени источника событий, для этого выполните следующие действия:
     1. В списке полей событий выберите Event Name.
     2. В списке условий выберите Equals.
     3. Нажмите кнопку Browse и выберите имя сервисного события, для которого создается правило.

   

   Добавление фильтров

   1. Нажмите на кнопку Add+, затем Submit.

      Если необходимое событие отсутствует, добавьте его в список идентификаторов QRadar Identifier (QID).

   • Введите имя правила и выберите способ применения этого правила к входящим событиям (Local или Global). Дополнительная информация о правилах Local и Global приведена в документации IBM.
   • Выберите группу, необходимую для правила.
   • Добавьте описание правила.

   

   Окно Rule Editor

   • Нажмите на кнопку Next.
7. На странице Rule Response выполните следующие действия:
   • Выберите Notify.
   • При необходимости задайте ограничение на срабатывание правила в разделе Response Limiter.
   • Проверьте раздел Enable Rule.

   

   Страница Rule Editor

   • Нажмите на кнопку Next.
8. На странице Rule Summary убедитесь, что все настройки заданы правильно, и нажмите на кнопку Finish.

   

   Страница Rule Summary

   Правило добавляется в список Rules.

   

   Список Rules

Добавленное правило генерирует уведомление о входящем сервисном событии. Для просмотра этих уведомлений можно нажать на раскрывающийся список Messages. Кроме того, уведомления отображаются в QRadar Console в виде всплывающих уведомлений.

Раскрывающийся список Messages

Настроить отображение уведомлений можно на вкладке Dashboard.

Системные уведомления на вкладке Dashboard

Чтобы настроить отображение уведомлений на вкладке Dashboard, выполните следующие действия:

1. Выберите вкладку Dashboard.
2. В раскрывающемся списке Add Item выберите System Notifications.

   

   Добавление системных уведомлений на вкладку Dashboard