OutputSettings
11 апреля 2024
ID 198889
Содержит параметры вывода для тенанта «General».
Определяет адрес и порт целевого программного обеспечения, в которое отправляются исходящие события, а также формат исходящих событий.
Путь
OutputSettings
Атрибуты
У этого элемента нет атрибутов.
Вложенные элементы
Чтобы указать значения элементов EventFormat, RecordFieldContextFormat, ActionableFieldContextFormat и AlertFormat, может потребоваться ознакомление с дополнительной информацией о шаблонах формата событий.
Этот элемент является контейнером для следующих вложенных элементов:
- EventFormat
Задает формат исходящих событий.
Элемент EventFormat является обязательным.
- RecordFieldContextFormat
Указывает, как поля контекста должны добавляться к событию.
Элемент RecordFieldContextFormat является обязательным.
- ActionableFieldContextFormat
Определяет, каким образом к событию должны добавляться поля контекста.
Элемент ActionableFieldContextFormat является обязательным.
- AlertFormat
Задает формат исходящих событий, которые информируют целевое программное обеспечение о состоянии Kaspersky CyberTrace Service.
Элемент AlertFormat не является обязательным. Если элемент отсутствует в конфигурационном файле, уведомление не формируется.
- ConnectionString
Задает IP-адрес и порт (или именованный канал Windows), на которые сервис будет отправлять исходящие события.
Элемент ConnectionString является обязательным.
Дополнительные сведения об этом элементе приведены в подразделе «OutputSettings > ConnectionString» ниже.
- AlertConnectionString
Задает IP-адрес (или хост) и порт, на который сервис будет отправлять сервисные информационные сообщения.
Элемент AlertConnectionString не является обязательным.
Дополнительные сведения об этом элементе приведены в подразделе «OutputSettings > AlertConnectionString» ниже.
- FinishedEventFormat
Задает формат информационного события, создаваемого для каждого обработанного события.
Элемент FinishedEventFormat является обязательным.
Дополнительные сведения об этом элементе приведены в подразделе «OutputSettings > FinishedEventFormat» ниже.
OutputSettings > ConnectionString
Задает IP-адрес (или хост) и порт, на который сервис будет отправлять сервисные информационные сообщения.
Строка имеет формат <ip_address>:<port> (если используются IP-адрес и порт) или \\.\pipe\<pipe_name> (если используется именованный канал Windows).
Можно использовать адрес IPv4 или IPv6.
OutputSettings > AlertConnectionString
Задает IP-адрес (или хост) и порт, на который сервис будет отправлять сервисные информационные сообщения.
Значение элемента имеет формат <ip_address>:<port> (если используются IP-адрес и порт) или \\.\pipe\<pipe_name> (если используется именованный канал Windows). IP-адрес должен состоять из четырех десятичных октетов, разделенных точкой. Значение в каждом октете должно быть меньше 256.
Элемент AlertConnectionString не является обязательным. Если элемент пропущен, для этого элемента используется атрибут enabled со значением false.
У этого элемента есть следующие атрибуты:
Атрибуты элемента «AlertConnectionString»
Атрибут | Описание |
|---|---|
| Определяет, отправляет ли Kaspersky CyberTrace Service оповещения о событиях на указанные IP-адрес и порт. Возможные значения: Если значение равно Если значение равно |
OutputSettings > FinishedEventFormat
Задает формат информационного события, которое генерируется после обработки события.
Если этот параметр включен, Kaspersky CyberTrace генерирует информационное событие для каждого обрабатываемого события. Информационное событие генерируется, даже если обнаружений не было.
Элемент FinishedEventFormat является обязательным.
Значение этого элемента задает формат события. В формате можно использовать шаблон %RecordContext% и имена регулярных выражений.
Если используется шаблон %RecordContext%, он предоставляет следующие поля:
- category
Для событий данного типа это
«LookupFinished». - sent_events
Количество событий, отправленных в SIEM-решение.
- total
Конкатенация следующих подстрок, сформированных для каждой категории, отнесенной к событиям обнаружений киберугроз:
<category>:<number_of_detections>;Если обнаружений не было, значением параметра sent_events является
0, а значением параметра total является пустая строка.
У этого элемента есть следующие атрибуты:
Атрибуты элемента «FinishedEventFormat»
Атрибут | Описание |
|---|---|
| Определяет, генерируются ли специальные информационные события. Возможные значения: Если значение равно Если значение равно Этот атрибут не является обязательным. |
Пример
Ниже приведен пример этого элемента.
<OutputSettings> <RecordFieldContextFormat><![CDATA[ %ParamName%=%ParamValue%]]></RecordFieldContextFormat> <AlertFormat>%Date% alert=%Alert%%RecordContext%</AlertFormat> <EventFormat>%RE_DATE% category=%Category% matchedIndicator=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME%%RecordContext%</EventFormat> <FinishedEventFormat enabled="true">LookupFinished %RecordContext%</FinishedEventFormat> <ActionableFieldContextFormat><![CDATA[ %ParamName%:%ParamValue%]]></ActionableFieldContextFormat> <ConnectionString>127.0.0.1:9998</ConnectionString> <AlertConnectionString>192.0.2.145:9998</AlertConnectionString> </OutputSettings> |
