サポート

法人向けアプリケーション

Kaspersky CyberTrace

インストールおよび連携ガイド

パート 2:Kaspersky CyberTrace とイベントソースの連携

QRadar との連携

標準的な連携(QRadar)

ステップ 4:検証テストの実行(QRadar)
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

ステップ 4:検証テストの実行(QRadar)

2024年4月11日

ID 167599

このセクションでは、検証テストを実行して Kaspersky CyberTrace の機能を検証する方法について説明します。

マッチングプロセスの設定を編集する前に、必ず検証テストを実行してください。

検証テストとは

検証テストは、Kaspersky CyberTrace の機能を検証し、連携の正確さを確認するために使用される手順です。

このテストでは、Kaspersky CyberTrace サービスが QRadar からイベントを受信しているか、QRadar が Kaspersky CyberTrace サービスからイベントを受信しているか、Kaspersky CyberTrace サービスが正規表現を使用してイベントを正しく解析しているかどうかを検証します。

検証テストファイルについて

検証テストファイルは、URL、IP アドレス、ハッシュを含むイベントの集合が含まれるファイルです。このファイルは、配布キットのディレクトリ ./verification にあります。ファイル名は kl_verification_test_leef.txt です。

検証手順

インストールを検証するには:

  1. 「KL_Verification_Tool」ログソースが QRadar に追加されており、「KL_Verification_Tool」からのイベントが Kaspersky CyberTrace サービスに送信されるようにルーティングルールが設定されていることを確認します。
  2. QRadar Console を開き、[Log Activity]タブを選択します。
  3. 次のようにフィルターを追加します:
    1. Add Filter]をクリックします。
    2. Parameter]ドロップダウンリストで、[Log Source]を選択します。
    3. Operator]ドロップダウンリストで、[Equals]を選択します。
    4. Log Source]ドロップダウンリストの[Value]グループで、必要なサービス名を選択します。

    QRadar の[Add Filter]ウィンドウ。

    イベントを参照するためのフィルターの追加

    1. Add Filter]をクリックします。

    Log Source is KL_Threat_Feed_Service_v2」という文字列が[Current Filters]の下に表示されます。

  4. View]ドロップダウンリストで、[Real Time]を選択してイベント領域を消去します。

    サービスイベントに関する情報を参照できるようになりました。

    QRadar でのフィルタリングされた情報の参照。

    フィルタリングされた情報の参照

  5. 以下のコマンドを実行することで、ログスキャナーを使用してファイル kl_verification_test_leef.txt を QRadar に送信します:

    Linux:./log_scanner -p ../verification/kl_verification_test_leef.txt

    Windows:log_scanner.exe -p ..\verification\kl_verification_test_leef.txt

    このコマンドで -r フラグを指定すると、テスト結果がログスキャナーのレポートファイルに書き込まれます。-r フラグを指定しない場合、Kaspersky CyberTrace サービスに対して指定されたアウトバウンドイベントの設定を使用して、SIEM ソリューションにテスト結果が送信されます。

    QRadar によって表示される予想結果は、使用するフィードによって異なります。検証テストの結果を以下の表に示します。

    検証テスト結果

    使用されたフィード

    検知されたオブジェクト

    Malicious URL Data Feed

    http://fakess123.nu

    http://badb86360457963b90faac9ae17578ed.com

    Phishing URL Data Feed

    http://fakess123ap.nu

    http://e77716a952f640b42e4371759a661663.com

    Botnet C&C URL Data Feed

    http://fakess123bn.nu

    http://a7396d61caffe18a4cffbb3b428c9b60.com

    IP Reputation Data Feed

    192.0.2.0

    192.0.2.3

    Malicious Hash Data Feed

    FEAF2058298C1E174C2B79AFFC7CF4DF

    44D88612FEA8A8F36DE82E1278ABB02F(EICAR テストファイル)

    C912705B4BBB14EC7E78FA8B370532C9

    Mobile Malicious Hash Data Feed

    60300A92E1D0A55C7FDD360EE40A9DC1

    Mobile Botnet C&C URL Data Feed

    001F6251169E6916C455495050A3FB8D(MD5 ハッシュ)

    http://sdfed7233dsfg93acvbhl.su/steallallsms.php (URL マスク)

    Ransomware URL Data Feed

    http://fakess123r.nu

    http://fa7830b4811fbef1b187913665e6733c.com

    APT URL Data Feed

    http://b046f5b25458638f6705d53539c79f62.com

    APT Hash Data Feed

    7A2E65A0F70EE0615EC0CA34240CF082

    APT IP Data Feed

    192.0.2.4

    IoT URL Data Feed

    http://e593461621ee0f9134c632d00bf108fd.com/.i

    Demo Botnet C&C URL Data Feed

    http://5a015004f9fc05290d87e86d69c4b237.com

    http://fakess123bn.nu

    Demo IP Reputation Data Feed

    192.0.2.1

    192.0.2.3

    Demo Malicious Hash Data Feed

    776735A8CA96DB15B422879DA599F474

    FEAF2058298C1E174C2B79AFFC7CF4DF

    44D88612FEA8A8F36DE82E1278ABB02F

    ICS Hash Data Feed

    7A8F30B40C6564EFF95E678F7C43346C

    QRadar のイベントのリスト。

    Kaspersky CyberTrace サービスから受信したイベントの閲覧

実際のテスト結果が予想結果と同じであれば、Kaspersky CyberTrace サービスと QRadar は適切に連携されています。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。