Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с LogRhythm

Шаг 2. Импорт правил и событий Kaspersky CyberTrace

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Шаг 2. Импорт правил и событий Kaspersky CyberTrace

11 апреля 2024

ID 200294

В этом разделе описывается порядок импорта в LogRhythm файлов, содержащих правила и события Kaspersky CyberTrace.

Если по какой-либо причине импорт не удается, можно настроить добавление событий Kaspersky CyberTrace и правил Kaspersky CyberTrace вручную.

Чтобы импортировать в LogRhythm файлы с правилами Kaspersky CyberTrace, выполните следующие действия:

  1. Для каждого файла формата mperule_%event_name%.xml из каталога integration/logrhythm/events/ выполните следующие действия:
    1. Откройте файл в текстовом редакторе.
    2. Замените значения элементов MPERuleToMST > MsgSourceTypeID и MsgSourceType > MsgSourceTypeID идентификатором типа источника журналов из предыдущего шага.

      Например, <MsgSourceTypeID>1000000001</MsgSourceTypeID> следует заменить на <MsgSourceTypeID>%CYBERTRACE_ID%</MsgSourceTypeID>, где %CYBERTRACE_ID% — идентификатор типа источника журнала Kaspersky CyberTrace.

    3. Сохраните файл.
  2. Откройте LogRhythm Console.
  3. Выберите Deployment Manager > Tools > Knowledge > MPE Rule Builder.

    Откроется форма Rule Builder.

  4. Для каждого файла, отредактированного на шаге 1 выше, выполните следующие действия:
    1. Выберите File > Import.

      Пункт меню Import в LogRhythm.

    2. В окне Import Actions нажмите на кнопку Yes.

      Окно Import Actions в LogRhythm.

      Если импорт завершится успешно, откроется окно Rule Import Status.

      Окно Rule Import Status в LogRhythm.

    3. На панели инструментов формы Rule Builder нажмите на кнопку Open rule library (Кнопка Open rule library в LogRhythm.).

      Откроется окно Rule Browser.

    4. Дважды нажмите на событие, которое было импортировано на шаге b.

      Откроется окно с настройками правила.

      Обратите внимание, что импортированное правило поступает в LogRhythm в статусе Development и может не отображаться в списке всех правил. Отображение можно настроить в окне Rule Browser, которое открывается при выборе View > Show Development Rules.

      Пункт меню View → Show Development Rules в LogRhythm.

    5. В открывшемся окне настроек General в разделе Rule Status выберите Production или Test.

      Окно настроек General в LogRhythm.

    6. Нажмите на кнопку Save.

    Соответствующие общие события и правила MPE добавляются в LogRhythm для всех событий. Полный список событий описан в разделе о добавлении событий Kaspersky CyberTrace. Полный список правил MPE и их настройки описаны в разделе о добавлении правил Kaspersky CyberTrace.

Некоторые из импортированных событий Kaspersky CyberTrace могут иметь низкий рейтинг риска по классификации LogRhythm. В зависимости от настройки фильтров LogRhythm может игнорировать такие события. Проверьте классификацию и убедитесь, что рейтинг риска импортированных событий позволяет LogRhythm правильно их принимать и обрабатывать.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!