В Kaspersky Industrial CyberSecurity for Networks вы можете использовать коннектор для отправки данных на сервер SIEM-системы. После добавления коннектора вам нужно настроить передачу событий через этот коннектор.
Содержание и порядок отображения сведений о событиях, передаваемых в SIEM-систему, могут отличаться от отображаемых данных в разделе События веб-интерфейса Сервера Kaspersky Industrial CyberSecurity for Networks.
Открытие раздела Live Event Viewer в системе HP ArcSight
Запуск Live Event Viewer в системе HP ArcSight
telnet <адрес сервера ArcSight> <порт>
CEF:0|KasperskyLab|TMS|1.0|KLAUD_EV_TESTEVENT|Critical Test event|1|src=10.0.0.1 dst=10.0.0.2 code=1234
Если есть соединение с системой HP ArcSight, в разделе Live Event Viewer появится событие, содержимое которого совпадает с отправленным сообщением (см. рис. ниже).
Проверка результатов работы
Программа передает данные в SIEM-систему в формате CEF 20. При передаче данных используются следующие внутренние структуры:
EventMessage
– для событий.ApplicationMessage
– для сообщений программы.AuditMessage
– для записей аудита.Получаемые сообщения не преобразуются в формат протокола системного журнала.
Формат структуры EventMessage
В таблице ниже данные представлены в следующих графах:
EventMessage |
Event |
Описание |
dateTime |
Начало |
Дата и время (с точностью до миллисекунды) перехвата сетевого пакета, который привел к возникновению события. |
hostname |
Адрес Сервера Kaspersky Industrial CyberSecurity for Networks |
Адрес Сервера Kaspersky Industrial CyberSecurity for Networks. |
cefVersion |
0 |
Номер версии CEF. |
deviceVendor |
Kaspersky Lab |
Производитель. |
deviceProduct |
Kaspersky Industrial CyberSecurity for Networks |
Название продукта. |
deviceVersion |
Пример: 4.0.0.386 |
Версия Kaspersky Industrial CyberSecurity for Networks. |
messageType |
Event |
Тип отправляемого сообщения. |
signatureId |
Тип события |
Идентификатор типа события. |
name |
Заголовок |
Описание события. |
severity |
Уровень критичности события:
|
Уровень критичности события. |
score |
Оценка события |
Значение оценки события. |
extension |
Указано в таблице Extension Fields |
Определяется отдельно для каждого типа сообщения. |
Дата и время отправляются в формате: ГГГГ-ММ-ДД
T
чч:мм:сс.мс
Z
. Пример: 2022-09-30T22:14:15.030Z — время события, которое возникло 30 сентября 2022 года в 22 часа, 14 минут, 15 секунд, 030 миллисекунд.
Содержимое Extension Fields
В таблице ниже данные представлены в следующих графах:
Extension |
Связанные события |
Описание |
cnt |
Общие поля событий |
Счетчик количества повторов после регистрации события. |
dmac |
Общие поля событий |
MAC-адрес получателя. |
dmacas |
Общие поля событий |
Адресное пространство для MAC-адреса получателя. |
dpt |
Общие поля событий |
Порт получателя. |
dst |
Общие поля событий |
IP-адрес получателя. |
das |
Общие поля событий |
Адресное пространство для IP-адреса получателя (если в программу добавлены дополнительные адресные пространства). |
end |
Общие поля событий |
Время завершения события. |
smac |
Общие поля событий |
MAC-адрес отправителя. |
smacas |
Общие поля событий |
Адресное пространство для MAC-адреса отправителя. |
spt |
Общие поля событий |
Порт отправителя. |
src |
Общие поля событий |
IP-адрес отправителя. |
srcas |
Общие поля событий |
Адресное пространство для IP-адреса отправителя (если в программу добавлены дополнительные адресные пространства). |
start |
Общие поля событий |
Время регистрации события. |
technology |
Общие поля событий |
Технология, которая использовалась для регистрации события. |
triggeredRule |
Общие поля событий |
Сработавшее правило. |
protocol |
Общие поля событий |
Протокол. |
vlanId |
Общие поля событий |
VLAN ID. |
monitoringPoint |
Общие поля событий |
Точка мониторинга, трафик с которой вызвал регистрацию события. |
sourceIndustrialAddress |
Общие поля событий |
Адрес прикладного уровня для отправителя. |
destinationIndustrialAddress |
Общие поля событий |
Адрес прикладного уровня для получателя. |
eventIdentifier |
Общие поля событий |
Идентификатор события. |
noTrafficDuration |
Отсутствует трафик на точке мониторинга |
Длительность отсутствия трафика. |
tagId |
Неверный тип тега |
ID тега. |
expectedTagType |
Неверный тип тега |
Ожидаемый тип данных тега. |
actualTagType |
Неверный тип тега |
Фактический тип данных тега. |
ruleName |
|
Имя правила. |
tags |
Нарушение правила контроля процесса |
Теги. |
msg |
Сработало правило обнаружения вторжений из системного набора правил |
Сообщение. |
substitutedIpAddress |
|
IP-адрес отправителя сетевых пакетов. |
targetIpAddress |
|
IP-адрес получателя сетевых пакетов. |
attackStartTimestamp |
|
Время начала действий, имеющих признаки атаки. |
ownerMac |
|
MAC-адрес владельца. |
ownerIp |
|
IP-адрес владельца. |
challengerMac |
Обнаружен конфликт IP-адреса |
MAC-адрес претендента. |
newIpAddress |
Обнаружен новый IP-адрес |
Новый IP-адрес. |
newMacAddress |
Обнаружен новый MAC-адрес |
Новый MAC-адрес. |
oldIpAddress |
Обнаружен новый IP-адрес |
Старый IP-адрес. |
assetName |
Обнаружено новое устройство |
Имя устройства. |
Параметры устройств
В таблице ниже представлены данные о параметрах устройств.
Если для обнаруженного взаимодействия определены одно или два устройства, Kaspersky Industrial CyberSecurity for Networks дополнительно отправляет в SIEM-систему известную информацию об одном или двух устройствах.
Если для обнаруженного взаимодействия определены несколько устройств, сообщение дублируется с другой адресной информацией и другими параметрами устройств (если устройства различны).
Extension |
Параметр устройства |
srcAssetName |
Имя устройства-отправителя. |
srcVendor |
Производитель устройства-отправителя. |
srcOS |
Операционная система устройства-отправителя. |
srcNetworkName |
Сетевое имя устройства-отправителя. |
srcModel |
Модель устройства-отправителя. |
dstAssetName |
Имя устройства-получателя. |
dstVendor |
Производитель устройства-получателя. |
dstOS |
Операционная система устройства-получателя. |
dstNetworkName |
Сетевое имя устройства-получателя. |
dstModel |
Модель устройства-получателя. |
Формат структуры ApplicationMessage
В таблице ниже данные представлены в следующих графах:
EventMessage |
Application message |
Описание |
dateTime |
Дата и время возникновения |
Дата и время (с точностью до миллисекунды) обнаружения ситуации, которая привела к регистрации сообщения. |
hostname |
Адрес Сервера или сенсора Kaspersky Industrial CyberSecurity for Networks |
Адрес узла Сервера или сенсора Kaspersky Industrial CyberSecurity for Networks. |
cefVersion |
0 |
Номер версии CEF. |
deviceVendor |
Kaspersky Lab |
Производитель. |
deviceProduct |
Kaspersky Industrial CyberSecurity for Networks |
Название продукта. |
deviceVersion |
Пример: 4.0.0.386 |
Версия Kaspersky Industrial CyberSecurity for Networks. |
messageType |
Application message |
Тип отправляемого сообщения. |
severity |
Уровень критичности сообщения программы:
|
Уровень критичности сообщения программы. |
address |
Адрес узла |
Адрес узла, от которого поступило сообщение. |
systemProcess |
Имя процесса |
Процесс программы, который вызвал регистрацию сообщения. |
msg |
Сообщение |
Числовой идентификатор и текст сообщения. |
Формат структуры AuditMessage
В таблице ниже данные представлены в следующих графах:
EventMessage |
Audit message |
Описание |
dateTime |
Дата и время возникновения |
Дата и время (с точностью до миллисекунды) обнаружения ситуации, которая привела к регистрации записи аудита. |
hostname |
Адрес Сервера Kaspersky Industrial CyberSecurity for Networks |
Адрес узла Сервера Kaspersky Industrial CyberSecurity for Networks. |
cefVersion |
0 |
Номер версии CEF. |
deviceVendor |
Kaspersky Lab |
Производитель. |
deviceProduct |
Kaspersky Industrial CyberSecurity for Networks |
Название продукта. |
deviceVersion |
Пример: 4.0.0.386 |
Версия Kaspersky Industrial CyberSecurity for Networks. |
messageType |
Audit message |
Тип отправляемого сообщения. |
address |
Узел пользователя |
Адрес узла, на котором совершено зарегистрированное действие. |
user |
Пользователь |
Имя пользователя, который совершил зарегистрированное действие. |
action |
Действие |
Зарегистрированное действие, которое совершил пользователь. |
result |
Результат |
Результат выполнения зарегистрированного действия (успешно или неуспешно). |
msg |
Описание |
Дополнительные сведения о зарегистрированном действии. |