Шаг 2. Импорт правил и событий Kaspersky CyberTrace
11 апреля 2024
ID 200294
В этом разделе описывается порядок импорта в LogRhythm файлов, содержащих правила и события Kaspersky CyberTrace.
Если по какой-либо причине импорт не удается, можно настроить добавление событий Kaspersky CyberTrace и правил Kaspersky CyberTrace вручную.
Чтобы импортировать в LogRhythm файлы с правилами Kaspersky CyberTrace, выполните следующие действия:
- Для каждого файла формата
mperule_%event_name%.xml
из каталогаintegration/logrhythm/events/
выполните следующие действия:- Откройте файл в текстовом редакторе.
- Замените значения элементов
MPERuleToMST > MsgSourceTypeID
иMsgSourceType > MsgSourceTypeID
идентификатором типа источника журналов из предыдущего шага.Например,
<MsgSourceTypeID>1000000001</MsgSourceTypeID>
следует заменить на<MsgSourceTypeID>%CYBERTRACE_ID%</MsgSourceTypeID>
, где%CYBERTRACE_ID%
— идентификатор типа источника журнала Kaspersky CyberTrace. - Сохраните файл.
- Откройте LogRhythm Console.
- Выберите Deployment Manager > Tools > Knowledge > MPE Rule Builder.
Откроется форма Rule Builder.
- Для каждого файла, отредактированного на шаге 1 выше, выполните следующие действия:
- Выберите File > Import.
- В окне Import Actions нажмите на кнопку Yes.
Если импорт завершится успешно, откроется окно Rule Import Status.
- На панели инструментов формы Rule Builder нажмите на кнопку Open rule library ().
Откроется окно Rule Browser.
- Дважды нажмите на событие, которое было импортировано на шаге b.
Откроется окно с настройками правила.
Обратите внимание, что импортированное правило поступает в LogRhythm в статусе
Development
и может не отображаться в списке всех правил. Отображение можно настроить в окне Rule Browser, которое открывается при выборе View > Show Development Rules. - В открывшемся окне настроек General в разделе Rule Status выберите Production или Test.
- Нажмите на кнопку Save.
Соответствующие общие события и правила MPE добавляются в LogRhythm для всех событий. Полный список событий описан в разделе о добавлении событий Kaspersky CyberTrace. Полный список правил MPE и их настройки описаны в разделе о добавлении правил Kaspersky CyberTrace.
Некоторые из импортированных событий Kaspersky CyberTrace могут иметь низкий рейтинг риска по классификации LogRhythm. В зависимости от настройки фильтров LogRhythm может игнорировать такие события. Проверьте классификацию и убедитесь, что рейтинг риска импортированных событий позволяет LogRhythm правильно их принимать и обрабатывать.