ステップ 1:ARB パッケージのインポート
2024年4月11日
ID 167562
このセクションでは、ARB パッケージを ArcSight にインポートする方法を説明します。
ARB パッケージには、サービスを ArcSight と連携するために必要なオブジェクト(アクティブチャネル、ダッシュボード、フィールドセット、レポート、ルール、フィルター、ユーザー)が含まれます。このファイルをインポートすると、これらのオブジェクトが ArcSight に作成されます。
ARB パッケージをインポートするには:
- ArcSight Console を実行します。
- [Navigator]ペイン(ツリービュー)で、[Packages]タブを選択します。
- [Import]をクリックします。
ArcSight パッケージ
- [Open]ウィンドウで、配布キットのディレクトリ
/integration/arcsight/にあるファイル Kaspersky_CyberTrace_Connector.arb を選択します。![ArcSight の[Open]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/arb_selection.jpg)
ARB ファイルの選択
インポートプロセスが実行されます。
![ArcSight の[Installing Packages Completed]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/arb_complete.jpg)
ARB のインポートの完了
すべてのオブジェクトが ARB ファイルから ArcSight にインポートされた後は、インポートされたルールはすべてリアルタイムルールです。つまり、これらのルールはリアルタイムで適用されます。
リアルタイムルールのリストを参照および管理するには:
- ツリービューで[Resources]タブをクリックします。
- [Active Channels]ドロップダウンリストを開き、[Rules]を選択します。
- ツリーで[Rules]→[Shared]→[All Rules]→[Real-time Rules]の順に選択します。
![ArcSight の[Real-time Rules]。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/realtime_rules.jpg)
リアルタイムルール
- [Real-time Rules]を展開し、不要なネストされた項目をそこから削除します。
ARB パッケージのインポート後、新しいオブジェクトが ArcSight に作成されます。
- ツリービューで[Active Channels]が選択された場合、以下のオブジェクトが[Active Channels]→[Shared]→[All Active Channels]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
Object
Description
既定の状態
CyberTrace alerts
Kaspersky CyberTrace からのサービスイベントをリアルタイムで表示します。
オン
CyberTrace all matches
Kaspersky CyberTrace からの検知イベントをリアルタイムで表示します。
オン
CyberTrace hash matches
Kaspersky CyberTrace からのハッシュ検知イベントをリアルタイムで表示します。
オフ
CyberTrace URL matches
Kaspersky CyberTrace からの URL 検知イベントをリアルタイムで表示します。
オフ
CyberTrace IP matches
Kaspersky CyberTrace から IP の検知イベントをリアルタイムで表示します。
オフ
- ツリービューで[Dashboards]が選択された場合、以下のオブジェクトが[Dashboards]→[Shared]→[All Dashboards]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
Object
Description
既定の状態
CyberTrace detection map
悪意のある URL、IP アドレス、またはハッシュを含むイベントを送信したすべてのデバイスを表示します。検知プロセスに関わったすべてのフィードを表示します。
オフ
CyberTrace match statistics
検知統計情報:特定のカテゴリの検知されたオブジェクト数を表示します。
オン
CyberTrace TOP 10 matched indicators
検知された上位 10 個のインジケーターです。
オフ
ArcSight に過負荷をかけないよう、[
CyberTrace detection map]および[CyberTrace Top 10 matched indicators]ダッシュボードは既定ではオフになっています。これらのダッシュボードは必要に応じてオンにできます。 - ツリービューで[Field Sets]が選択された場合、以下のオブジェクトが[Field Sets]→[Shared]→[All Field Sets]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
Object
Description
既定の状態
CyberTrace alerts
Kaspersky CyberTrace からのサービスイベントのフィールドを表示します。
静的
CyberTrace all matches
Kaspersky CyberTrace からの検知イベントのフィールドを表示します。
静的
CyberTrace matched hashes
Kaspersky CyberTrace からのハッシュ検知イベントのフィールドを表示します。
静的
CyberTrace matched URLs
Kaspersky CyberTrace からの URL 検知イベントのフィールドを表示します。
静的
CyberTrace matched IPs
Kaspersky CyberTrace からの IP アドレス検知イベントのフィールドを表示します。
静的
- ツリービューで[Reports]が選択された場合、以下のオブジェクトが[Reports]→[Shared]→[All Reports]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
Object
Description
既定の状態
CyberTrace all matches
Kaspersky CyberTrace からの検知イベントを含むレポート。
静的
- ツリービューで[Rules]が選択された場合、以下のオブジェクトが[Rules]→[Shared]→[All Rules]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
Object
Description
既定の状態
CyberTrace_HighThreatScoreIP
Kaspersky CyberTrace からの IP 検知イベントに高い重大度を割り当て、高優先度の IP 検知イベントを保管するためのルール。
オン
CyberTrace_MediumThreatScoreIP
Kaspersky CyberTrace からの IP 検知イベントに中程度の重大度を割り当て、中程度の優先度の IP 検知イベントを保管するためのルール。
オン
CyberTrace_LowThreatScoreIP
Kaspersky CyberTrace からの IP 検知イベントに低い重大度を割り当て、低優先度の IP 検知イベントを保管するためのルール。
オン
- ツリービューで[Filters]が選択された場合、以下のオブジェクトが[Filters]→[Shared]→[All Filters]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
Object
Description
既定の状態
CyberTrace all matches
Kaspersky CyberTrace が送信した検知イベントを選択するためのフィルター。
静的
CyberTrace forwarding events
URL、IP アドレス、またはハッシュを含むイベントを Kaspersky CyberTrace に転送するためのフィルター。
静的
CyberTrace matched hashes
Kaspersky CyberTrace が送信したハッシュ検知イベントを選択するためのフィルター。
静的
CyberTrace matched URLs
Kaspersky CyberTrace が送信した URL 検知イベントを選択するためのフィルター。
静的
CyberTrace matched IPs
Kaspersky CyberTrace が送信した IP 検知イベントを選択するためのフィルター。
静的
- ツリービューで[Users]が選択された場合、以下のオブジェクトが[Users]→[Shared]→[Custom User Groups]→[Kaspersky CyberTrace Connector]のロケーションにあります:
Object
Description
既定の状態
FwdCyberTrace
ArcSight のイベント転送を構成するために使用されるアカウント。
静的
インポートが終了したら、FwdCyberTrace ユーザーが作成されていることを確認します。確認するには、ArcSight Console で[Users]→[Shared]→[Custom User Groups]→[Kaspersky CyberTrace Connector]の順に移動します。[FwdCyberTrace]ユーザーが存在しない場合は、手動で作成します。