Настройка поиска IoC на узлах с установленными агентами

Чтобы настроить поиск индикаторов компрометации (IoC) на узлах с установленными агентами, требуется создать в R-Vision SOAR специальное поле инцидента типа Массив и добавить это поле в категорию Событие безопасности.

Чтобы создать поле инцидента и добавить его в категорию, выполните в системе R-Vision SOAR следующие действия:

  1. Перейдите в раздел Настройки системы → Инциденты → Поля.

  2. Нажмите на кнопку b add (Добавить). В правой части экрана отобразится область редактирования параметров поля.

  3. Выберите тип поля инцидента Массив.

  4. Укажите наименование. Например, Обнаружения IoC на узлах после сканирования.

  5. Укажите тег для распознавания: find_array.

  6. Сформируйте список столбцов: выберите тип, укажите наименование и тег. Массив должен содержать столбцы типа Текстовое поле со следующими данными:

    1. Наименование: Узел; тег: find_host.

    2. Наименование: Путь; тег: find_path.

  7. Нажмите на кнопку Добавить. Поле будет добавлено в систему.

  8. Перейдите в раздел Настройки системы → Инциденты → Категории.

  9. Выберите категорию Событие безопасности.

  10. В правой панели в разделе Поля нажмите на кнопку Изменить. Система отобразит таблицу выбора полей.

  11. Выберите созданное поле и раздел свойств инцидента, в котором будет отображаться поле (Общие сведения или Дополнительные поля).

  12. Нажмите на кнопку Сохранить. Система добавит поле в категорию Событие безопасности.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение