Как интегрировать потоки данных об угрозах «Лаборатории Касперского» с RSA NetWitness
Для интеграции потоков данных об угрозах «Лаборатории Касперского» с RSA NetWitness вы можете использовать Kaspersky CyberTrace или Kaspersky Threat Feed App для RSA NetWitness.
Рекомендуемый способ интеграции — Kaspersky CyberTrace.
Kaspersky CyberTrace
С помощью Kaspersky CyberTrace вы можете проверять URL-адреса, хеши файлов и IP-адреса в событиях, поступающих в RSA NetWitness. URL-адреса, хеши файлов и IP-адреса сопоставляются с потоками данных об угрозах «Лаборатории Касперского», а также других поставщиков и источников, загружаемых в CyberTrace. В процессе сопоставления Kaspersky CyberTrace определяет категорию индикатора и генерирует событие с информацией о том, какие меры необходимо принять.
Чтобы установить SIEM-приложение для RSA NetWitness:
- Скачайте установочный файл Kaspersky CyberTrace в статье.
- Следуйте инструкции по установке в справке.
Kaspersky Threat Feed App для RSA NetWitness
Kaspersky Threat Feed App для RSA NetWitness позволяет сопоставлять наблюдаемые данные событий, поступающих в RSA NetWitness, с потоками данных об угрозах «Лаборатории Касперского» при помощи встроенных возможностей SIEM-приложения (без использования CyberTrace).
Потоки данных об угрозах «Лаборатории Касперского» скачиваются и конвертируются в формат, который можно импортировать в RSA NetWitness. После этого RSA NetWitness может сопоставить поля поступающих событий с индикаторами, которые содержатся в потоках данных об угрозах «Лаборатории Касперского». При обнаружении совпадения RSA NetWitness добавит контекстные данные из соответствующей записи потоков данных об угрозах к событию, содержащему индикатор компрометации (IoC).
Чтобы установить Kaspersky Threat Feed App для RSA NetWitness:
- Скачайте установочный файл в формате TGZ для Linux Kaspersky_ThreatDataFeed_for_RSA_Netwitness-1.0.tar;
- Следуйте инструкции по установке в документе.