Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с LogRhythm

Шаг 9 (необязательный). Создание информационных сообщений о входящих сервисных событиях Kaspersky CyberTrace

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Шаг 9 (необязательный). Создание информационных сообщений о входящих сервисных событиях Kaspersky CyberTrace

11 апреля 2024

ID 196831

Для создания уведомлений о входящих сервисных событиях Kaspersky CyberTrace можно настроить правила информационных сообщений.

Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в LogRhythm, выполните следующие действия:

  1. Запустите LogRhythm Console.
  2. Выберите Deployment Manager > Alarm Rules и нажмите New.
  3. В окне подтверждения Create Global Rule нажмите кнопку Yes, если требуется предоставить доступ к работе с этим правилом всем пользователям, у которых есть роль Global Admin. Нажмите No, если с этим правилом должен работать только текущий пользователь.
  4. Выполните следующие действия на каждой вкладке внизу страницы:
    • На вкладке Primary Criteria выполните следующие действия:
      1. Нажмите кнопку New и выберите значение Common Event в раскрывающемся списке Add New Field Filter.

        Окно Alarm Rules в LogRhythm. Фильтры Primary Criteria.

        Окно Log Message Filter в LogRhythm.

      2. Нажмите на кнопку Edit values.

        Откроется окно Field Filter Values.

      3. В окне Field Filter Values нажмите на кнопку Add Item.
      4. Выберите имя сервисного события Kaspersky CyberTrace из списка. Если такие события отсутствуют, добавьте их, как описано в разделе Добавление событий Kaspersky CyberTrace.

        Окно Field Filter Values в LogRhythm.

      5. Нажмите на кнопку OK.
    • Оставьте вкладки Include Filters, Exclude Filters и Day and Time Criteria без изменений.
    • На вкладке Log Source Criteria установите флажок Include the Selected Log Sources, затем нажмите на кнопку Add.

    Окно Alarm Rule → Log Source Criteria в LogRhythm.

    Окно Alarm Rule window

    Окно Log Source Criteria Add в LogRhythm.

    Окно Log Source Criteria Add

    • Вкладку Aggregation оставьте без изменений.
    • На вкладке Settings укажите период времени, в течение которого должны подавляться идентичные информационные сообщения, связанные с возникновением каких-либо новых сервисных событий Kaspersky CyberTrace.

    Окно Alarm Rule → вкладка Settings в LogRhythm.

    Параметры подавления информационных сообщений

    • На вкладке Notify выберите роль или пользователя, которым должны быть адресованы уведомления.

    Окно Alarm Rule → вкладка Notify в LogRhythm.

    Выбор ролей для уведомления

    • Вкладку Actions оставьте без изменений.
    • На вкладке Information укажите имя правила и его описание.

    Окно Alarm Rule → вкладка Information в LogRhythm.

    Alarm Rule Name/Brief Description

  5. Нажмите на кнопку OK.
  6. На вкладке Alarm Rules щелкните по новому правилу правой кнопкой мыши и выберите Actions > Enable.

    Список правил информационных сообщений в LogRhythm.

    Включение правила

  7. Настройте отображение информационных сообщений в веб-консоли LogRhythm, как описано в разделе Шаг 10 (необязательный). Отображение оповещений о событиях в LogRhythm.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!