Конфигурационный файл создается техническим специалистом Заказчика, сотрудником "Лаборатории Касперского" или сертифицированным интегратором. Системный администратор загружает конфигурационный файл процессора событий при настройке параметров службы Event Processor.
При повторной загрузке конфигурационного файла, в котором определены другие параметры событий, параметры событий, определенные в предыдущем конфигурационном файле, станут недоступны для настройки в веб-интерфейсе программы.
Коннектор CEF Connector получает информацию о каждом обнаруженном событии от внешних систем в CEF-формате:
CEF:<версия формата CEF>|<имя поставщика внешней системы>|<название программы внешней системы>|<версия программы внешней системы>|<уникальный идентификатор типа события>|<описание события>|<уровень важности события>|<параметр 1>=<значение параметра 1> ... <параметр N>=<значение параметра N> |
где:
CEF:<версия формата CEF>|<имя поставщика внешней системы>|<название программы внешней системы>|<версия программы внешней системы>|<уникальный идентификатор типа события>|<описание события>|<уровень важности события>| – заголовок события.<параметр 1>=<значение параметра 1> ... <параметр N>=<значение параметра N> – тело события, содержащее последовательность пар <параметр события>=<значение параметра события>.Конфигурационный файл описывает параметры в событиях, полученных коннектором CEF Connector. Имена параметров событий в Kaspersky MLAD могут совпадать с именами параметров, полученных в CEF-формате коннектором CEF Connector. При необходимости вы можете указать другие имена параметров, которые необходимо обрабатывать в Kaspersky MLAD, по определенным правилам. Правила соответствия параметров событий задаются в параметре mapping_fields конфигурационного файла.
Параметры nodes и links конфигурационного файла предназначены для описания способа построения графа результатов поиска событий. Граф представляет собой отображение отношений параметров событий, вершины которого задаются в параметре nodes, а дуги задаются в параметре links.
Конфигурационный файл содержит следующие параметры:
timestamp_field – название параметра для обозначения даты и времени в событиях, полученных коннектором CEF Connector от внешней системы.timetamp_scale – единица измерения времени событий.sep – разделитель между параметрами значений в событиях, полученных коннектором CEF Connector.sep_kv – разделитель ключа и значения в событиях, полученных коннектором CEF Connector.sep_cef_caption – разделитель в заголовке событий, полученных коннектором CEF Connector.mapping_fields – правила соответствия параметров событий, полученных коннектором CEF Connector, с именами параметров событий для обработки в Kaspersky MLAD. При необходимости вы можете задать условия записи параметров событий в Kaspersky MLAD в зависимости от значений других параметров, полученных коннектором CEF Connector. Этот параметр не является обязательным для заполнения.fields – список параметров событий, обрабатываемых службой Event Processor. Имена этих параметров могут соответствовать именам параметров, полученных в CEF-формате, так и именам параметров, заданных в правилах с помощью параметра mapping_fields.nodes – группа параметров, описывающих вершины графа отношений параметров событий с помощью следующих параметров:name – имя параметра события, соответствующего вершине графа.depth – порядковый номер отображения вершины графа слева направо при просмотре истории событий.tooltip – параметр, включающий параметр templates. В параметре templates задается надпись, которая будет отображаться при наведении курсора мыши на вершину графа.fieldShortCut – параметр, определяющий альтернативное имя параметра события. На графе отношений параметров событий альтернативное имя отображается в квадратных скобках рядом со значением параметра, соответствующего вершине графа. Этот параметр не является обязательным для заполнения.links – группа параметров, описывающих дуги графа (отношения параметров событий) с помощью следующих параметров:source – имя первого параметра события, образующего связь на графе.target – имя второго параметра события, образующего связь на графе.tooltip – параметр, включающий параметр templates. В параметре templates задается надпись, которая будет отображаться при наведении курсора мыши на дугу графа. Вы можете использовать следующие переменные с помощью двойных фигурных скобок:fields.onIntervalActivationsCount – количество обнаружений события в потоке событий за период, заданный при просмотре истории событий.onIntervalLastActivationTimestamp – дата и время последнего обнаружения события в потоке событий за период, заданный при просмотре истории событий.lastActivationTimestamp – дата и время последнего обнаружения события в потоке событий.totalActivationsCount – количество обнаружений события в потоке событий.isGraphGroup – параметр, определяющий способ отображения связи на графе отношений параметров событий. Если параметр имеет значение true, то события с разными значениями параметров, которые не используются в качестве вершин графа, отображаются как одна группа событий. Если параметр имеет значение false, то события с разными значениями параметров отображаются как разные события. По умолчанию этот параметр имеет значение false.Ниже приведен пример файла в формате JSON, который содержит конфигурацию параметров для службы Event Processor. Файл содержит описание параметров событий для процессора событий. В соответствии со значениями, указанными в параметре mapping_fields, в Kaspersky MLAD будут отображаться события со следующими параметрами события:
EventType – соответствует параметру cat в событии, полученном коннектором CEF Connector.User_Name – соответствует параметру cs1, если для параметра cs1Label получено значение user.Destination_Host – соответствует параметру cs1, если для параметра cs1Label получено значение destination.Access_Result – соответствует параметру cs1, если для параметра cs1Label получено значение access.{ "timestamp_field": "TimeStamp", "timestamp_scale": "ms", "sep": " ", "sep_kv": "=", "sep_cef_caption": "|", "mapping_fields": { "cat": "User_Host", "cs1": {"map_label": "cs1Label", "values": {"user": "User_Name", "destination": "Destination_Host", "access": "Access_Result"}} }, "fields": [ "User_Host", "User_Name", "Destination_Host", "Access_Result" ], "nodes": [ { "name": "User_Name", "depth": 0, "tooltip": { "templates": [ "User: {{User_Name}}" ] }, "fieldShortCut": "User" }, { "name": "User_Host", "depth": 1, "tooltip": { "templates": [ "User host: {{User_Host}}" ] }, "fieldShortCut": "Src" }, { "name": "Destination_Host", "depth": 2, "tooltip": { "templates": [ "Destination: {{Destination_Host}}" ] }, "fieldShortCut": "Dst" } ], "links": [ { "source": "User_Name", "target": "User_Host", "tooltip": { "templates": [ "{{User_Name}} » {{User_Host}}", "Count: {{onIntervalActivationsCount}}" ] }, "isGraphGroup": true }, { "source": "User_Host", "target": "Destination_Host", "tooltip": { "templates": [ "{{User_Host}} » {{Destination_Host}}", "DeviceEventClassID: {{Access_Result}}", "Count: {{onIntervalActivationsCount}}" ] } } ] } |