Шаг 6. Создание поискового фильтра для событий CyberTrace

В этом разделе описывается порядок создания поиска событий.

Чтобы создать поиск событий, выполните следующие действия:

1. Остановите поток событий, нажав кнопку Pause () в правом верхнем углу окна.
2. В QRadar Console перейдите на вкладку Log Activity.
3. Выберите Search > New Search.

   

   Новый поиск

4. В форме Column Definition добавьте MD5 (custom), SHA1 (custom), SHA256 (custom), URL (custom), IP (custom) из списка Available Columns в список Columns.

   

   Определение столбцов

5. Прокрутите страницу вниз и в форме Search Parameters задайте KL_Threat_Feed_Service_v2 в качестве источника журналов:
   1. В раскрывающемся списке Parameter выберите Log Source [Indexed].
   2. В раскрывающемся списке Operator выберите Equals.
   3. В списке Log Source выберите KL_Threat_Feed_Service_v2.

      Вариант выбора KL_Threat_Feed_Service_v2 соответствует имени источника журналов, заданному в элементе OutputSettings > EventFormat и в элементе OutputSettings > AlertFormat конфигурационного файла Kaspersky CyberTrace Service (их также можно задать с помощью веб-интерфейса Kaspersky CyberTrace).

   4. Нажмите на кнопку Add Filter.

      В список Current Filters добавляется строка Log Source is KL_Threat_Feed_Service_v2.

   

   Настройка источника журнала

6. Нажмите кнопку Search, чтобы отобразить результат поиска.
7. Нажмите на кнопку Save Criteria.

   

   Кнопка Save Criteria

8. В форме Save Criteria введите имя поиска в поле ввода Search Name, установите флажок Include in my Quick Searches, затем укажите анализируемый интервал для созданного поиска (например, Real Time).
9. Нажмите на кнопку OK.

   

   Сохранение критериев