Создание уведомлений о входящих сервисных событиях

Для создания уведомлений о входящих сервисных событиях Kaspersky CyberTrace можно настроить правила информационных сообщений.

Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в ArcSight ESM, выполните следующие действия:

1. Запустите ArcSight Console.
2. На панели Navigator в раскрывающемся списке выберите Rules.
3. В дереве выберите Rules > Shared > All Rules > Public directory.

   

   Дерево Rules

4. Щелкните правой кнопкой мыши узел фильтра в дереве Kaspersky CyberTrace Connector и выберите New Rule > Standard Rule.
5. На панели Inspect > Edit задайте следующие настройки:
   • В поле Name на вкладке Attributes укажите имя правила.

     Указываемое имя может быть любым.

   • На вкладке Conditions укажите следующие условия:
     • Device Product = Kaspersky CyberTrace for ArcSight
     • Reason = %ServiceEventCode%

       Где %ServiceEventCode% — код сервисного события, который используется для генерации уведомлений.

   

   Условия событий

   • Щелкните правой кнопкой мыши вкладку Actions, выберите On Every Event, затем выберите следующее:
     • Activate Trigger
     • Add

       Эта настройка должна содержать действие, которое будет выполняться при получении сервисного события, указанного на вкладке Conditions. Например, Send Notification.

   

   Добавление действий

6. Нажмите на кнопку Apply.