О шаблонах формата событий
11 апреля 2024
ID 197106
Форматы и шаблоны позволяют включать определенную информацию в сообщения, генерируемые Kaspersky CyberTrace.
Форматы — это строки, определяющие формат сообщения или шаблона. Шаблоны — это специальные подстановочные строки, которые можно использовать при определении форматов. При генерации сообщения шаблон заменяется фактическими данными.
О сообщениях обнаружения киберугроз и служебных оповещениях
Форматы можно задать для двух типов сообщений, генерируемых Kaspersky CyberTrace:
- Сообщения об обнаружении киберугроз
Это исходящие сообщения, содержащие информацию об обнаруженных совпадениях с индикаторами.
Более подробные сведения о формате сообщений об обнаруженных киберугрозах приведены ниже в подразделе «Формат сообщений об обнаружении киберугроз».
- Служебные оповещения
Это исходящие сообщения, информирующие целевое программное обеспечение (например SIEM) о состоянии Kaspersky CyberTrace Service.
Более подробные сведения о формате оповещений о событиях приведены ниже в подразделе «Формат служебных оповещений».
Формат контекста записи
Формат %RecordContext% определяет, каким образом к сообщению должны добавляться поля контекста. Формат этого шаблона можно задать в поле Records context format.
В формате %RecordContext% можно использовать следующие шаблоны:
- %ParamName%
Имя поля в потоке данных об угрозах.
- %ParamValue%
Значение поля.
Формат %RecordContext% используется в форматах оповещений о событиях и событиях обнаружений киберугроз:
- Сообщения об обнаружении киберугроз
Шаблон %RecordContext% определяет формат полей контекста, передаваемых в сообщении об обнаружении киберугрозы.
Например, если для %RecordContext% задано
%ParamName%=%ParamValue%, то для потока данных об угрозах с полями«Ip»и«Geo»может быть получена следующая строка (обратите внимание на пробел между данными двух полей):«Ip=192.0.2.100 Geo=ru,br,ua,cz,us». - Служебные оповещения
Шаблон %RecordContext% определяет формат полей контекста, передаваемых в служебном оповещении.
У каждого типа служебного оповещения особые поля. Например, если для %RecordContext% задано
%ParamName%=%ParamValue%, то при обновлении потока данных об угрозах может быть получена следующая строка:«feed=Phishing_URL_Data_Feed.json records=200473».
Формат полей контекста
Формат %ActionableFields% определяет, каким образом к сообщению должны добавляться поля контекста. Для этого шаблона можно задать отдельный формат в поле Actionable fields context format.
В формате %ActionableFields% можно использовать следующие шаблоны:
- %ParamName%
Имя поля контекста.
- %ParamValue%
Значение поля контекста.
Формат %ActionableFields% используется в формате сообщений об обнаружении киберугроз:
Шаблон %ActionableFields% определяет формат полей контекста, передаваемых в сообщения об обнаружении киберугроз.
Например, если для %ActionableFields% задано %ParamName%:%ParamValue%, а в потоке данных об угрозах присутствуют поля cn1 и cn2, то может быть получена следующая строка: «cn1:Example Device cn2:Example Environment».
Формат служебных оповещений
Этот формат можно указать в поле Alert events format.
В этом формате можно использовать следующие шаблоны:
- %Alert%
- %Date%
Текущие дата и время в формате
Mon DD HH:MM:SS. - %RecordContext%
Контекст оповещения (см. описание выше в разделе «Формат контекста записи»).
Ниже приведен пример формата оповещений о событиях:
%Date% alert=%Alert%%RecordContext% |
Если генерируется оповещение обновления потока данных об угрозах, в приведенном выше примере будет получено следующее оповещение:
Apr 16 09:05:41 alert=KL_ALERT_UpdatedFeed feed=Phishing_URL_Data_Feed.json records=200473 |
Формат сообщений об обнаружении киберугроз
Этот формат можно указать в поле Detection events format.
В этом формате можно использовать следующие шаблоны:
- %Category%
Категория обнаруженного объекта.
- %Date%
Текущие дата и время в формате
Mon DD HH:MM:SS. - Имя регулярного выражения
Этот шаблон представляет собой имя регулярного выражения. Шаблон заменяется значением, извлеченным из поля события, сопоставленного с регулярным выражением. Например, если имя регулярного выражения — имя
RE_URL, шаблон для него —%RE_URL%, а сгенерированное сообщение содержит значение, сопоставленное с этим регулярным выражением. - %MatchedIndicator%
Обнаруженный индикатор (URL, хеш или IP-адрес), ставший причиной события.
- %SourceId%
Идентификатор источника события. Это имя, указанное для источника события на вкладке Matching.
Идентификатор предустановленного источника событий —
Default. - %Confidence%
Уровень доверия. Это значение берется из значения доверия к индикатору потока данных об угрозах, содержащего сопоставленные индикаторы из сообщения об обнаружении киберугрозы.
- %IndicatorInfo%
Ссылка на веб-страницу Kaspersky CyberTrace, содержащую информацию об обнаруженном индикаторе.
- %ActionableFields%
Поля контекста (см. описание выше в разделе «Формат полей контекста»).
- %RecordContext%
Контекст сообщения (см. описание выше в разделе «Формат контекста записи»).
- %EventReceivedDate%
Дата и время, когда приложением Kaspersky CyberTrace было получено событие обнаружения из SIEM-решения.
- %Retroscan%
Признак того, что обнаружение было произведено в результате ретроспективного сканирования.
Ниже приведен пример элемента OutputSettings > EventFormat:
%Date% event_name=%Category% source=%SourceId% matchedIndicator=%MatchedIndicator% url=%RE_URL% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME% indicatorInfo=%IndicatorInfo% confidence=%Confidence%%RecordContext% |
По приведенному выше формату будет сгенерировано следующее сообщение:
Apr 16 09:05:41 eventName=KL_Malicious_Hash_MD5 source=ExampleSource matchedIndicator=C912705B4BBB14EC7E78FA8B370532C9 url=- src=192.0.2.4 ip=192.0.2.23 md5=C912705B4BBB14EC7E78FA8B370532C9 sha1=- sha256=- usrName=ExampleUser indicatorInfo=https://127.0.0.1/indicators?value=C912705B4BBB14EC7E78FA8B370532C9 confidence=100 MD5=C912705B4BBB14EC7E78FA8B370532C9 SHA1=8CBB395D31A711D683B1E36842AE851D5D000BAD SHA256=F6E62E9B3AF38A6BF331922B624844AAEB2D3658C4F0A54FA4651EAA6441C933 file_size=2989 first_seen=10.07.2016 23:53 last_seen=13.04.2020 08:08 popularity=1 threat=HEUR:Trojan.Win32.Generic |
Шаблоны для ArcSight
Kaspersky CyberTrace Service отправляет служебные оповещения в формате CEF. Форматы сообщений для ArcSight должны соответствовать требованиям формата CEF.
Для сообщений об обнаружении киберугроз следует использовать следующий формат:
|
В дополнение к общим шаблонам в формате сообщений об обнаружении киберугроз для ArcSight используются следующие шаблоны с названиями регулярных выражений:
%DST_IP%— IP-адрес точки назначения.%DeviceIp%— IP-адрес конечного устройства, на котором произошло событие.%RE_HASH%— хеш, содержащийся в событии.%RE_URL%— URL, содержащийся в событии.%Device%— поставщик устройства.%Product%— название устройства.%UserName%— имя пользователя, который был активен на конечном устройстве.%Id%— идентификатор события.
Для служебных оповещений следует использовать следующий формат:
|
В указанном выше формате 4 (или другое значение от 1 до 10 ) — это уровень важности оповещений о событиях от Kaspersky CyberTrace.
Шаблоны для RSA NetWitness
Значения форматов сообщений об обнаружении киберугроз и служебных оповещений должны соответствовать форматам, заданным в файле v20_cybertracemsg.xml. В случае изменения форматов эти изменения необходимо также перенести в файл v20_cybertracemsg.xml.
Ниже приведен пример формата сообщения об обнаружении киберугроз:
|
В дополнение к общим шаблонам в формате сообщений об обнаружении киберугроз для RSA NetWitness используются следующие шаблоны с названиями регулярных выражений:
%RE_URL%— URL, содержащийся в событии.%RE_HASH%— хеш, содержащийся в событии.%DST_IP%— IP-адрес точки назначения.%SRC_IP%— IP-адрес источника.%DeviceIp%— IP-адрес конечного устройства, на котором произошло событие.%Device%— поставщик устройства.%DeviceAction%— действие, выполненное устройством.%UserName%— имя пользователя, который был активен на конечном устройстве.
