サポート

法人向けアプリケーション

Kaspersky CyberTrace

インストールおよび連携ガイド

パート 2:Kaspersky CyberTrace とイベントソースの連携

RSA NetWitness との連携

開始前の準備(RSA NetWitness)

ソフトウェア設定の確認(RSA NetWitness)
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

ソフトウェア設定の確認(RSA NetWitness)

2024年4月11日

ID 167743

このセクションでは、RSA NetWitness サービスが満たす必要がある要件について説明します。

以下の条件が満たされていることを確認します:

  • Kaspersky CyberTrace サービスイベントを受信する Concentrator のインデックスファイル(index-concentrator-custom.xml)に、以下のメタフィールドが含まれている必要があります:
    • virusname

      このメタフィールドとその他のメタフィールド(msg は除く)には、レベル IndexValues が必要です。また、これらのメタフィールドの defaultAction 値を Open にします。

    • user.src
    • ip.src
    • action
    • msg

      ファイル index-concentrator-custom.xml のこのメタフィールドには、レベル IndexKeys(イベントに存在するメタフィールドにインデックスが付いている)またはレベル IndexNone(メタフィールドにインデックスが付いていない)が必要です。このメタフィールドにレベル IndexValues を設定すると、ハードドライブの容量が急速に消費されます。

    • event.source
    • device.ip
    • ip.dst
    • url
    • checksum

    これらのフィールドのいずれかがインデックスファイルにない場合は、「RSA NetWitness のトラブルシューティング」セクションの説明に従って追加し、Concentrator を再起動します。

    Concentrator がないものの、Kaspersky CyberTrace サービスから受信したデータの保存に Log Decoder を使用している場合は、上述のセクションに従ってファイル index-logdecoder-custom.xml を変更し、Log Decoder を再起動します。

    Concentrator が Log Decoder からデータを受信する場合は、Concentrator のインデックスファイル(index-concentrator-custom.xml)のみを更新します。詳細は、https://community.rsa.com/docs/DOC-41760 を参照してください。また、イベントを検索するデータソースとして Log Decoder を使用する場合、またはレポートやダッシュボードの作成に Log Decoder を使用する場合も、Log Decoder のインデックスファイル(index-logdecoder-custom.xml)を更新します。

  • 設定情報ファイル table-map-custom.xml(Log Decoder の設定情報ファイル)に、以下のメタフィールドが含まれている必要があります:
    • virusname
    • c_username
    • saddr
    • daddr
    • url
    • checksum
    • msg
    • event_source
    • hostip
    • action

    これらの各メタフィールドの flags 属性の値は None でなければなりません。

    これらのフィールドのいずれかがインデックスファイルにない場合は、「RSA NetWitness のトラブルシューティング」を参照してください。

Kaspersky CyberTrace サービスが送信した検知イベントは、フィードの背景情報を別のフィールドに保持します。RSA NetWitness でこれらのフィールドを表示して使用できます(RSA NetWitness では、これらのフィールド名の先頭に kl. が付きます)。

コンテキストフィールドを表示するには:

  1. %service_dir%/integration/rsa/additional_elements/table-map-custom.xml の内容を、Kaspersky CyberTrace サービスが検知イベントを送信する Log Decoder のファイル table-map-custom.xml に追加します。
  2. %service_dir%/integration/rsa/additional_elements/index-concentrator-custom.xml の内容を、Kaspersky CyberTrace サービスから受信したイベントを保存する Concentrator のファイル index-concentrator-custom.xml に追加します。

上述のすべての設定は、RSA NetWitness Web ユーザーインターフェイスを使用して、[Services(Log Decoder および Concentrator)→[Config]ビューで指定できます。

ファイル table-map-custom.xml および index-concentrator-custom.xml を編集したら、Log Decoder と Concentrator を再起動します。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。