ステップ 4:検証テストの実行(QRadar)
2024年4月11日
ID 167599
このセクションでは、検証テストを実行して Kaspersky CyberTrace の機能を検証する方法について説明します。
マッチングプロセスの設定を編集する前に、必ず検証テストを実行してください。
検証テストとは
検証テストは、Kaspersky CyberTrace の機能を検証し、連携の正確さを確認するために使用される手順です。
このテストでは、Kaspersky CyberTrace サービスが QRadar からイベントを受信しているか、QRadar が Kaspersky CyberTrace サービスからイベントを受信しているか、Kaspersky CyberTrace サービスが正規表現を使用してイベントを正しく解析しているかどうかを検証します。
検証テストファイルについて
検証テストファイルは、URL、IP アドレス、ハッシュを含むイベントの集合が含まれるファイルです。このファイルは、配布キットのディレクトリ ./verification
にあります。ファイル名は kl_verification_test_leef.txt
です。
検証手順
インストールを検証するには:
「KL_Verification_Tool」
ログソースが QRadar に追加されており、「KL_Verification_Tool」
からのイベントが Kaspersky CyberTrace サービスに送信されるようにルーティングルールが設定されていることを確認します。- QRadar Console を開き、[Log Activity]タブを選択します。
- 次のようにフィルターを追加します:
- [Add Filter]をクリックします。
- [Parameter]ドロップダウンリストで、[
Log Source
]を選択します。 - [Operator]ドロップダウンリストで、[
Equals
]を選択します。 - [Log Source]ドロップダウンリストの[Value]グループで、必要なサービス名を選択します。
イベントを参照するためのフィルターの追加
- [Add Filter]をクリックします。
「
Log Source is KL_Threat_Feed_Service_v2
」という文字列が[Current Filters]の下に表示されます。 - [View]ドロップダウンリストで、[
Real Time
]を選択してイベント領域を消去します。サービスイベントに関する情報を参照できるようになりました。
フィルタリングされた情報の参照
- 以下のコマンドを実行することで、ログスキャナーを使用してファイル
kl_verification_test_leef.txt
を QRadar に送信します:Linux:
./log_scanner -p ../verification/kl_verification_test_leef.txt
Windows:
log_scanner.exe -p ..\verification\kl_verification_test_leef.txt
このコマンドで
-r
フラグを指定すると、テスト結果がログスキャナーのレポートファイルに書き込まれます。-r
フラグを指定しない場合、Kaspersky CyberTrace サービスに対して指定されたアウトバウンドイベントの設定を使用して、SIEM ソリューションにテスト結果が送信されます。QRadar によって表示される予想結果は、使用するフィードによって異なります。検証テストの結果を以下の表に示します。
検証テスト結果
使用されたフィード
検知されたオブジェクト
Malicious URL Data Feed
http://fakess123.nu
http://badb86360457963b90faac9ae17578ed.com
Phishing URL Data Feed
http://fakess123ap.nu
http://e77716a952f640b42e4371759a661663.com
Botnet C&C URL Data Feed
http://fakess123bn.nu
http://a7396d61caffe18a4cffbb3b428c9b60.com
IP Reputation Data Feed
192.0.2.0
192.0.2.3
Malicious Hash Data Feed
FEAF2058298C1E174C2B79AFFC7CF4DF
44D88612FEA8A8F36DE82E1278ABB02F(EICAR テストファイル)
C912705B4BBB14EC7E78FA8B370532C9
Mobile Malicious Hash Data Feed
60300A92E1D0A55C7FDD360EE40A9DC1
Mobile Botnet C&C URL Data Feed
001F6251169E6916C455495050A3FB8D(MD5 ハッシュ)
http://sdfed7233dsfg93acvbhl.su/steallallsms.php (URL マスク)
Ransomware URL Data Feed
http://fakess123r.nu
http://fa7830b4811fbef1b187913665e6733c.com
APT URL Data Feed
http://b046f5b25458638f6705d53539c79f62.com
APT Hash Data Feed
7A2E65A0F70EE0615EC0CA34240CF082
APT IP Data Feed
192.0.2.4
IoT URL Data Feed
http://e593461621ee0f9134c632d00bf108fd.com/.i
Demo Botnet C&C URL Data Feed
http://5a015004f9fc05290d87e86d69c4b237.com
http://fakess123bn.nu
Demo IP Reputation Data Feed
192.0.2.1
192.0.2.3
Demo Malicious Hash Data Feed
776735A8CA96DB15B422879DA599F474
FEAF2058298C1E174C2B79AFFC7CF4DF
44D88612FEA8A8F36DE82E1278ABB02F
ICS Hash Data Feed
7A8F30B40C6564EFF95E678F7C43346C
Kaspersky CyberTrace サービスから受信したイベントの閲覧
実際のテスト結果が予想結果と同じであれば、Kaspersky CyberTrace サービスと QRadar は適切に連携されています。