Отправка событий Kaspersky Industrial CyberSecurity for Networks в SIEM-системы

Развернуть все | Свернуть все

В Kaspersky Industrial CyberSecurity for Networks вы можете использовать коннектор для отправки данных на сервер SIEM-системы. После добавления коннектора вам нужно настроить передачу событий через этот коннектор.

Содержание и порядок отображения сведений о событиях, передаваемых в SIEM-систему, могут отличаться от отображаемых данных в разделе События веб-интерфейса Сервера Kaspersky Industrial CyberSecurity for Networks.

• Проверка передачи событий на примере системы HP ArcSight
  1. Убедитесь, что настроен канал приема сообщений от Kaspersky Industrial CyberSecurity for Networks штатными средствами системы HP ArcSight.
  2. Откройте браузер и перейдите по адресу вашей системы HP ArcSight.
  3. Войдите под своей учетной записью и перейдите к разделу Analyze → Live Event Viewer (см. рис. ниже).

     

     Открытие раздела Live Event Viewer в системе HP ArcSight

  4. Нажмите на кнопку Start (см. рис. ниже).

     

     Запуск Live Event Viewer в системе HP ArcSight

  5. Откройте интерфейс командной строки и введите команду, чтобы соединиться с сервером по протоколу Telnet:

     telnet <адрес сервера ArcSight> <порт>

  6. Отправьте тестовое сообщение в формате CEF:

     CEF:0|KasperskyLab|TMS|1.0|KLAUD_EV_TESTEVENT|Critical Test event|1|src=10.0.0.1 dst=10.0.0.2 code=1234

  Если есть соединение с системой HP ArcSight, в разделе Live Event Viewer появится событие, содержимое которого совпадает с отправленным сообщением (см. рис. ниже).

  

  Проверка результатов работы

• Формат сообщений, посылаемых в SIEM-систему

  Программа передает данные в SIEM-систему в формате CEF 20. При передаче данных используются следующие внутренние структуры:

  • EventMessage – для событий.
  • ApplicationMessage – для сообщений программы.
  • AuditMessage – для записей аудита.

  Получаемые сообщения не преобразуются в формат протокола системного журнала.

  Формат структуры EventMessage

  В таблице ниже данные представлены в следующих графах:

  • EventMessage — имя поля в сообщении.
  • Event — соответствующее поле события в Kaspersky Industrial CyberSecurity for Networks или конкретное значение.
  • Описание — описание поля.

    EventMessage	Event	Описание
    dateTime	Начало	Дата и время (с точностью до миллисекунды) перехвата сетевого пакета, который привел к возникновению события.
    hostname	Адрес Сервера Kaspersky Industrial CyberSecurity for Networks	Адрес Сервера Kaspersky Industrial CyberSecurity for Networks.
    cefVersion	0	Номер версии CEF.
    deviceVendor	Kaspersky Lab	Производитель.
    deviceProduct	Kaspersky Industrial CyberSecurity for Networks	Название продукта.
    deviceVersion	Пример: 4.0.0.386	Версия Kaspersky Industrial CyberSecurity for Networks.
    messageType	Event	Тип отправляемого сообщения.
    signatureId	Тип события	Идентификатор типа события.
    name	Заголовок	Описание события.
    severity	Уровень критичности события: 9 – для оценок 8.0–10.0; 6 – для оценок 4.0–7.9; 3 – для оценок 0.0–3.9.	Уровень критичности события. Значения от 3 до 9, где 9 – наиболее критичное событие.
    score	Оценка события	Значение оценки события.
    extension	Указано в таблице Extension Fields	Определяется отдельно для каждого типа сообщения.

  Дата и время отправляются в формате: ГГГГ-ММ-ДДTчч:мм:сс.мсZ. Пример: 2022-09-30T22:14:15.030Z — время события, которое возникло 30 сентября 2022 года в 22 часа, 14 минут, 15 секунд, 030 миллисекунд.

  Содержимое Extension Fields

  В таблице ниже данные представлены в следующих графах:

  • Extension — имя поля в сообщении.
  • Связанные события — события, в которых отправляется конкретное поле.
  • Описание — описание поля.

    Extension	Связанные события	Описание
    cnt	Общие поля событий	Счетчик количества повторов после регистрации события.
    dmac	Общие поля событий	MAC-адрес получателя.
    dmacas	Общие поля событий	Адресное пространство для MAC-адреса получателя.
    dpt	Общие поля событий	Порт получателя.
    dst	Общие поля событий	IP-адрес получателя.
    das	Общие поля событий	Адресное пространство для IP-адреса получателя (если в программу добавлены дополнительные адресные пространства).
    end	Общие поля событий	Время завершения события.
    smac	Общие поля событий	MAC-адрес отправителя.
    smacas	Общие поля событий	Адресное пространство для MAC-адреса отправителя.
    spt	Общие поля событий	Порт отправителя.
    src	Общие поля событий	IP-адрес отправителя.
    srcas	Общие поля событий	Адресное пространство для IP-адреса отправителя (если в программу добавлены дополнительные адресные пространства).
    start	Общие поля событий	Время регистрации события.
    technology	Общие поля событий	Технология, которая использовалась для регистрации события.
    triggeredRule	Общие поля событий	Сработавшее правило.
    protocol	Общие поля событий	Протокол.
    vlanId	Общие поля событий	VLAN ID.
    monitoringPoint	Общие поля событий	Точка мониторинга, трафик с которой вызвал регистрацию события.
    sourceIndustrialAddress	Общие поля событий	Адрес прикладного уровня для отправителя.
    destinationIndustrialAddress	Общие поля событий	Адрес прикладного уровня для получателя.
    eventIdentifier	Общие поля событий	Идентификатор события.
    noTrafficDuration	Отсутствует трафик на точке мониторинга	Длительность отсутствия трафика.
    tagId	Неверный тип тега	ID тега.
    expectedTagType	Неверный тип тега	Ожидаемый тип данных тега.
    actualTagType	Неверный тип тега	Фактический тип данных тега.
    ruleName	Нарушение правила контроля процесса Сработало правило обнаружения вторжений из системного набора правил	Имя правила.
    tags	Нарушение правила контроля процесса	Теги.
    msg	Сработало правило обнаружения вторжений из системного набора правил	Сообщение.
    substitutedIpAddress	Обнаружены признаки ARP‑подмены в ARP‑ответах Обнаружены признаки ARP‑подмены в ARP‑запросах	IP-адрес отправителя сетевых пакетов.
    targetIpAddress	Обнаружены признаки ARP‑подмены в ARP‑ответах Обнаружены признаки ARP‑подмены в ARP‑запросах	IP-адрес получателя сетевых пакетов.
    attackStartTimestamp	Обнаружены признаки ARP‑подмены в ARP‑ответах Обнаружены признаки ARP‑подмены в ARP‑запросах	Время начала действий, имеющих признаки атаки.
    ownerMac	Обнаружен конфликт IP-адреса Обнаружен новый IP-адрес Обнаружено новое устройство Получена новая информация Обнаружен трафик с MAC-адреса Добавлен MAC-адрес к устройству Добавлен IP-адрес к устройству	MAC-адрес владельца.
    ownerIp	Обнаружено новое устройство Добавлен MAC-адрес к устройству Добавлен IP-адрес к устройству Обнаружен конфликт IP-адреса Обнаружен новый MAC-адрес	IP-адрес владельца.
    challengerMac	Обнаружен конфликт IP-адреса	MAC-адрес претендента.
    newIpAddress	Обнаружен новый IP-адрес	Новый IP-адрес.
    newMacAddress	Обнаружен новый MAC-адрес	Новый MAC-адрес.
    oldIpAddress	Обнаружен новый IP-адрес	Старый IP-адрес.
    assetName	Обнаружено новое устройство	Имя устройства.

  Параметры устройств

  В таблице ниже представлены данные о параметрах устройств.

  Если для обнаруженного взаимодействия определены одно или два устройства, Kaspersky Industrial CyberSecurity for Networks дополнительно отправляет в SIEM-систему известную информацию об одном или двух устройствах.

  Если для обнаруженного взаимодействия определены несколько устройств, сообщение дублируется с другой адресной информацией и другими параметрами устройств (если устройства различны).

  Extension	Параметр устройства
  srcAssetName	Имя устройства-отправителя.
  srcVendor	Производитель устройства-отправителя.
  srcOS	Операционная система устройства-отправителя.
  srcNetworkName	Сетевое имя устройства-отправителя.
  srcModel	Модель устройства-отправителя.
  dstAssetName	Имя устройства-получателя.
  dstVendor	Производитель устройства-получателя.
  dstOS	Операционная система устройства-получателя.
  dstNetworkName	Сетевое имя устройства-получателя.
  dstModel	Модель устройства-получателя.

  Формат структуры ApplicationMessage

  В таблице ниже данные представлены в следующих графах:

  • EventMessage — имя поля в сообщении.
  • Application message — соответствующее поле сообщения программы в Kaspersky Industrial CyberSecurity for Networks или конкретное значение.
  • Описание — описание поля.

    EventMessage	Application message	Описание
    dateTime	Дата и время возникновения	Дата и время (с точностью до миллисекунды) обнаружения ситуации, которая привела к регистрации сообщения.
    hostname	Адрес Сервера или сенсора Kaspersky Industrial CyberSecurity for Networks	Адрес узла Сервера или сенсора Kaspersky Industrial CyberSecurity for Networks.
    cefVersion	0	Номер версии CEF.
    deviceVendor	Kaspersky Lab	Производитель.
    deviceProduct	Kaspersky Industrial CyberSecurity for Networks	Название продукта.
    deviceVersion	Пример: 4.0.0.386	Версия Kaspersky Industrial CyberSecurity for Networks.
    messageType	Application message	Тип отправляемого сообщения.
    severity	Уровень критичности сообщения программы: 10 – для статусов Серьезный сбой, Критический сбой, Неустранимый сбой; 5 – для статусов Неизвестно, Сбой; 0 – для статусов Начало работы, Нормальная работа.	Уровень критичности сообщения программы. Значения от 0 до 10, где 10 – наиболее критичное сообщение.
    address	Адрес узла	Адрес узла, от которого поступило сообщение.
    systemProcess	Имя процесса	Процесс программы, который вызвал регистрацию сообщения.
    msg	Сообщение	Числовой идентификатор и текст сообщения.

  Формат структуры AuditMessage

  В таблице ниже данные представлены в следующих графах:

  • EventMessage — имя поля в сообщении.
  • Audit message — соответствующее поле записи аудита в Kaspersky Industrial CyberSecurity for Networks или конкретное значение.
  • Описание — описание поля.

    EventMessage	Audit message	Описание
    dateTime	Дата и время возникновения	Дата и время (с точностью до миллисекунды) обнаружения ситуации, которая привела к регистрации записи аудита.
    hostname	Адрес Сервера Kaspersky Industrial CyberSecurity for Networks	Адрес узла Сервера Kaspersky Industrial CyberSecurity for Networks.
    cefVersion	0	Номер версии CEF.
    deviceVendor	Kaspersky Lab	Производитель.
    deviceProduct	Kaspersky Industrial CyberSecurity for Networks	Название продукта.
    deviceVersion	Пример: 4.0.0.386	Версия Kaspersky Industrial CyberSecurity for Networks.
    messageType	Audit message	Тип отправляемого сообщения.
    address	Узел пользователя	Адрес узла, на котором совершено зарегистрированное действие.
    user	Пользователь	Имя пользователя, который совершил зарегистрированное действие.
    action	Действие	Зарегистрированное действие, которое совершил пользователь.
    result	Результат	Результат выполнения зарегистрированного действия (успешно или неуспешно).
    msg	Описание	Дополнительные сведения о зарегистрированном действии.