ステップ 1:RSA NetWitness からのイベントの転送
2024年4月11日
ID 167789
このセクションでは、受信したイベントを Kaspersky CyberTrace サービスに転送するように RSA NetWitness を構成する方法について説明します。
RSA NetWitness から Kaspersky CyberTrace サービスにイベントを転送するには:
- RSA NetWitness のメインウィンドウで、[Administration]→[Services]の順に選択します。
- 以下の[Services]テーブルで、該当の Log Decoder(URL、ハッシュ、または IP アドレスを含むイベントを受信する Log Decoder)を選択します。
Log Decoder の選択
イベントの受信に複数の Log Decoder が使用されている場合、各 Log Decoder に対して以下のステップを繰り返します。
- 選択した Log Decoder の[Actions]列で、[Settings]スプリットボタン()を選択し、ドロップダウンリストで[View]→[Config]の順に選択します。
- [App Rules]タブを選択し、[Add]()をクリックします。
[Rule Editor]ウィンドウが表示されます。
- 以下のデータを指定します:
- Rule Name:
cybertrace
- Condition:
device.type='%DEVICE_NAME_1%'
これは条件の例です。ここで、
%DEVICE_NAME_1%
という文字列は、そのイベントが Kaspersky CyberTrace サービスに送信される必要があるデバイスの名前を表します。以下は、Cisco ASA および Check Point Firewall からどのイベントが Kaspersky CyberTrace サービスに送信される必要があるかに基づく別の条件例です:device.type='ciscoasa' || device.type='checkpointfw1'
あるイベントがここで指定した条件を満たす場合、そのイベントは Kaspersky CyberTrace サービスに送信されます。
- Alert:オン
- Forward:オン
[Rule Editor]ウィンドウ
ルールの作成方法についての詳細は、https://community.rsa.com/t5/rsa-netwitness-platform-online/configure-application-rules/ta-p/592148 を参照してください。
- Rule Name:
- [OK]をクリックします。
- [Apply]をクリックします。
- Log Decoder の名前の隣で、[Config]→[Explore]の順に選択します。
- 宛先を選択します:
- RSA NetWitness バージョン 11.2 以降の場合:
/decoder/config/logs.forwarding.destination パラメータで以下の宛先を指定します:
cybertrace=tcp:[IP]:[port]:rfc3164
ここで、
[IP]
は Kaspersky CyberTrace サービスがインストールされているコンピューターの IP アドレス、[port]
は Kaspersky CyberTrace サービスがイベントをリッスンするポートです(既定ではポート9999
が使用されます)。IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings]→[Service]タブで指定したものと同じです。 - RSA NetWitness 11.2 以前のバージョンの場合:
- /decoder/config/logs.forwarding.destination パラメータで以下の宛先を指定します:
cybertrace=tcp:[IP]:[port]
ここで、
[IP]
は Kaspersky CyberTrace サービスがインストールされているコンピューターの IP アドレス、[port]
は Kaspersky CyberTrace サービスがイベントをリッスンするポートです(既定ではポート9999
が使用されます)。IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings]→[Service]タブで指定したものと同じです。 - Kaspersky CyberTrace サービスの設定情報ファイルの EventDelimeter パラメータで値
<![CDATA[(\<\d+\>)]]>
を指定します。
- /decoder/config/logs.forwarding.destination パラメータで以下の宛先を指定します:
ログイベントの転送設定
- RSA NetWitness バージョン 11.2 以降の場合:
- /decoder/config/logs.forwarding.enabled パラメータで
true
を指定します。
これらの手順を実行すると、RSA NetWitness は、cybertrace
ルールを満たすイベントを、logs.forwarding.destination
パラメータで指定したアドレスに転送するようになります。
イベントの転送についての詳細は、https://community.rsa.com/t5/rsa-netwitness-platform-online/decoder-configure-syslog-forwarding-to-destination/ta-p/572084 を参照してください。