ステップ 3:QRadar から Kaspersky CyberTrace サービスへのイベントの転送
2024年4月11日
ID 167582
QRadar が受信したイベントを Kaspersky CyberTrace サービス経由で確認するには、イベントを Kaspersky CyberTrace サービスに転送するように QRadar を構成する必要があります。
QRadar から Kaspersky CyberTrace サービスにイベントを転送するには:
- [Admin]→[System Configuration]→[Forwarding Destinations]→[Add]の順に選択します。
- [Forwarding Destination Properties]ウィンドウで、宛先の識別子(
「KL_Threat_Feed_Service_v2」
など)を入力します。 - 宛先のアドレス(Kaspersky CyberTrace サービスが実行されるホスト)を入力します。
- イベント形式に[
Payload
]、プロトコルに[TCP
]を選択します。Payload
形式が保持できる情報は、JSON
形式と比較して少なくなります。たとえば、イベントソース名が使用される場合、QRadar はイベントからイベントソース名を削除する場合があります。代わりにJSON
形式を指定することもできますが、その場合は必ず適切に構成してください。Kaspersky CyberTrace に転送するイベントをJSON
形式で構成する方法についての説明は、以下の 「JSON 形式のイベント構成に関する推奨事項」を参照してください。 - Kaspersky CyberTrace のインバウンドイベントのパラメータに従ってポートを設定します。この情報は、Kaspersky CyberTrace Web の[Settings]→[Service]タブで確認できます。
転送先の追加
- [Save]をクリックします。
- [Admin]→[Routing rules]→[Add]を選択します。
- [Routing Rule]ウィンドウで、ルール名(
KL_Threat_Feed_Service_v2_Rule
など)を入力します。 - モードに[
Online
]を選択します。 - [Forwarding Event Collector]ドロップダウンリストの値は既定のままにします。
- データソースに[
Events
]を選択します。 - [Event Filters]グループで、イベントフィルターを設定します。
[
KL_Verification_Tool
]と一緒にログソースを選択し、フィルターで[Equals any of
]演算子を使用します。また、サービスが最大限のパフォーマンスを発揮できるよう、フィード内を検索するインジケーター(URL、ハッシュ(MD5、SHA1、SHA256)、IP アドレスなど)を含むイベントのみを選択することを推奨します。Kaspersky CyberTrace サービスから受信した検知イベントが Kaspersky CyberTrace サービスに戻されないよう、[Match all incoming events]をオフにするか、オフのままにします。
- [Forward]をオンにします。表の[Name]列の隣の列で、ステップ 1 で追加した項目(この場合
KL_Threat_Feed_Service_v2
)の横のチェックボックスをオンにします。ルーティングルールの追加
- [Save]をクリックします。
JSON 形式のイベント構成に関する推奨事項
多数のバージョンの QRadar(7.3.2 パッチ 6、7.4.0 など)において、JSON
形式の一部の転送済みイベントが削除される場合があり、それによって誤った結果が生じることがあります。これを回避するために、JSON
形式のイベントから一部のフィールドを除外することを推奨します(そのようなフィールドの完全なリストについては、IBM の QRadar サポートチームに問い合わせるか、手動での確認を試行します)。詳細な正規化ルールを Kaspersky CyberTrace Web で指定する必要があります(以下参照)。
そのため、Payload
形式のイベントに必須フィールドが含まれていない場合は、Payload
形式ではなく JSON
形式を使用します。その場合、以下の条件を満たしていることを確認します:
- [Forwarding Destination Properties]ウィンドウで、必要なフィールドのみが選択されています。QRadar は転送済みのイベントを削除しません。転送されるフィールドをイベント内で有効化または無効化するには、[Profile]フィールドの隣にあるボタンをクリックして[Forwarding Profile Properties]ウィンドウを開きます。
JSON 形式のイベントの構成
- Kaspersky CyberTrace Web の[Settings]→[Matching]タブで、以下の正規化ルールが指定されています:
詳細な正規化ルールの構成