Как интегрировать потоки данных об угрозах «Лаборатории Касперского» с RSA NetWitness

Для интеграции потоков данных об угрозах «Лаборатории Касперского» с RSA NetWitness вы можете использовать Kaspersky CyberTrace или Kaspersky Threat Feed App для RSA NetWitness.

Рекомендуемый способ интеграции — Kaspersky CyberTrace.

Kaspersky CyberTrace

С помощью Kaspersky CyberTrace вы можете проверять URL-адреса, хеши файлов и IP-адреса в событиях, поступающих в RSA NetWitness. URL-адреса, хеши файлов и IP-адреса сопоставляются с потоками данных об угрозах «Лаборатории Касперского», а также других поставщиков и источников, загружаемых в CyberTrace. В процессе сопоставления Kaspersky CyberTrace определяет категорию индикатора и генерирует событие с информацией о том, какие меры необходимо принять.

Чтобы установить SIEM-приложение для RSA NetWitness:

1. Скачайте установочный файл Kaspersky CyberTrace в статье.
2. Следуйте инструкции по установке в справке.

Kaspersky Threat Feed App для RSA NetWitness

Kaspersky Threat Feed App для RSA NetWitness позволяет сопоставлять наблюдаемые данные событий, поступающих в RSA NetWitness, с потоками данных об угрозах «Лаборатории Касперского» при помощи встроенных возможностей SIEM-приложения (без использования CyberTrace).

Потоки данных об угрозах «Лаборатории Касперского» скачиваются и конвертируются в формат, который можно импортировать в RSA NetWitness. После этого RSA NetWitness может сопоставить поля поступающих событий с индикаторами, которые содержатся в потоках данных об угрозах «Лаборатории Касперского». При обнаружении совпадения RSA NetWitness добавит контекстные данные из соответствующей записи потоков данных об угрозах к событию, содержащему индикатор компрометации (IoC).

Чтобы установить Kaspersky Threat Feed App для RSA NetWitness:

1. Скачайте установочный файл в формате TGZ для Linux Kaspersky_ThreatDataFeed_for_RSA_Netwitness-1.0.tar;
2. Следуйте инструкции по установке в документе.