Шаг 1. Пересылка событий из RSA NetWitness
22 августа 2024
ID 167789
В этом разделе описывается порядок настройки в RSA NetWitness пересылки получаемых событий в Kaspersky CyberTrace Service.
Чтобы пересылать события из RSA NetWitness в Kaspersky CyberTrace Service, выполните следующие действия:
- В главном окне RSA NetWitness выберите (Admin) > System.
- В таблице Services ниже выберите требуемый Log Decoder (тот, Log Decoder, который получает события, содержащие URL, хеш или IP-адрес).
Выбор Log Decoder
Если для приема событий используется более одного Log Decoder, повторите следующие шаги для каждого Log Decoder.
- Для выбранного Log Decoder в столбце Actions нажмите кнопку Settings (), затем в раскрывающемся списке выберите View > Config.
- Перейдите на вкладку App Rules и нажмите кнопку Add ().
Откроется окно Rule Editor.
- Задайте следующие параметры:
- Rule Name:
cybertrace
- Condition:
device.type='%DEVICE_NAME_1%'
Это пример условия, в котором строка
%DEVICE_NAME_1%
представляет собой имя устройства, события которого должны отправляться в Kaspersky CyberTrace Service. Ниже приведен еще один пример условия, в соответствии с которым события из Cisco ASA и Check Point Firewall должны отправляться в Kaspersky CyberTrace Service:device.type='ciscoasa' || device.type='checkpointfw1'
Если событие соответствует указанному здесь условию, оно отправляется в Kaspersky CyberTrace Service.
- Флажок Alert: установлен
- Флажок Forward: установлен
Окно «Rule Editor»
Для получения информации о порядке создания правил, см. https://community.rsa.com/t5/rsa-netwitness-platform-online/configure-application-rules/ta-p/592148.
- Rule Name:
- Нажмите на кнопку OK.
- Нажмите на кнопку Apply.
- Рядом с именем Log Decoder выберите Config > Explore.
- Укажите назначение.
- Для RSA NetWitness версии 11.2 и более поздних:
В параметре /decoder/config/logs.forwarding.destination укажите следующее назначение:
cybertrace=tcp:[IP]:[port]:rfc3164
Здесь
[IP]
— это IP-адрес сервера, на котором установлен Kaspersky CyberTrace Service, а[port]
— это порт, который Kaspersky CyberTrace Service прослушивает для получения событий (по умолчанию используется порт9999
). IP-адрес и порт совпадают с указанными на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace. - Для более ранних версий RSA NetWitness, чем 11.2:
- В параметре /decoder/config/logs.forwarding.destination укажите следующее назначение:
cybertrace=tcp:[IP]:[port]
Здесь
[IP]
— это IP-адрес сервера, на котором установлен Kaspersky CyberTrace Service, а[port]
— это порт, который Kaspersky CyberTrace Service прослушивает для получения событий (по умолчанию используется порт9999
). IP-адрес и порт совпадают с указанными на вкладке Settings > Service веб-интерфейса Kaspersky CyberTrace. - Для параметра EventDelimeter в конфигурационном файле Kaspersky CyberTrace Service задайте значение
<![CDATA[(\<\d+\>)]]>
.
- В параметре /decoder/config/logs.forwarding.destination укажите следующее назначение:
Настройки пересылки событий журнала
- Для RSA NetWitness версии 11.2 и более поздних:
- Для параметра /decoder/config/logs.forwarding.enabled задайте значение
true
.
После выполнения этих действий RSA NetWitness будет пересылать события, удовлетворяющие правилу cybertrace
, на адрес, указанный в параметре logs.forwarding.destination
.
Дополнительные сведения о пересылке событий см. на странице https://community.rsa.com/t5/rsa-netwitness-platform-online/decoder-configure-syslog-forwarding-to-destination/ta-p/572084.