サポート

法人向けアプリケーション

Kaspersky CyberTrace

インストールおよび連携ガイド

パート 2:Kaspersky CyberTrace とイベントソースの連携

RSA NetWitness との連携

標準的な連携(RSA NetWitness)

ステップ 1:RSA NetWitness からのイベントの転送
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

ステップ 1:RSA NetWitness からのイベントの転送

2024年4月11日

ID 167789

このセクションでは、受信したイベントを Kaspersky CyberTrace サービスに転送するように RSA NetWitness を構成する方法について説明します。

RSA NetWitness から Kaspersky CyberTrace サービスにイベントを転送するには:

  1. RSA NetWitness のメインウィンドウで、[Administration]→[Services]の順に選択します。
  2. 以下の[Services]テーブルで、該当の Log Decoder(URL、ハッシュ、または IP アドレスを含むイベントを受信する Log Decoder)を選択します。

    RSA NetWitness の[Services]ウィンドウ。Log Decoder の選択。

    Log Decoder の選択

    イベントの受信に複数の Log Decoder が使用されている場合、各 Log Decoder に対して以下のステップを繰り返します。

  3. 選択した Log Decoder の[Actions]列で、[Settings]スプリットボタン(RSA NetWitness の[Settings]スプリットボタン。)を選択し、ドロップダウンリストで[View]→[Config]の順に選択します。
  4. App Rules]タブを選択し、[Add](RSA NetWitness のプラス記号。)をクリックします。

    Rule Editor]ウィンドウが表示されます。

  5. 以下のデータを指定します:
    • Rule Namecybertrace
    • Conditiondevice.type='%DEVICE_NAME_1%'

      これは条件の例です。ここで、%DEVICE_NAME_1% という文字列は、そのイベントが Kaspersky CyberTrace サービスに送信される必要があるデバイスの名前を表します。以下は、Cisco ASA および Check Point Firewall からどのイベントが Kaspersky CyberTrace サービスに送信される必要があるかに基づく別の条件例です:

      device.type='ciscoasa' || device.type='checkpointfw1'

      あるイベントがここで指定した条件を満たす場合、そのイベントは Kaspersky CyberTrace サービスに送信されます。

    • Alert:オン
    • Forward:オン

    RSA NetWitness の[Rule Editor]ウィンドウ。

    [Rule Editor]ウィンドウ

    ルールの作成方法についての詳細は、https://community.rsa.com/t5/rsa-netwitness-platform-online/configure-application-rules/ta-p/592148 を参照してください。

  6. OK]をクリックします。
  7. Apply]をクリックします。
  8. Log Decoder の名前の隣で、[Config]→[Explore]の順に選択します。
  9. 宛先を選択します:
    • RSA NetWitness バージョン 11.2 以降の場合:

      /decoder/config/logs.forwarding.destination パラメータで以下の宛先を指定します:

      cybertrace=tcp:[IP]:[port]:rfc3164

      ここで、[IP] は Kaspersky CyberTrace サービスがインストールされているコンピューターの IP アドレス、[port] は Kaspersky CyberTrace サービスがイベントをリッスンするポートです(既定ではポート 9999 が使用されます)。IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings][Service]タブで指定したものと同じです。

    • RSA NetWitness 11.2 以前のバージョンの場合:
      1. /decoder/config/logs.forwarding.destination パラメータで以下の宛先を指定します:

        cybertrace=tcp:[IP]:[port]

        ここで、[IP] は Kaspersky CyberTrace サービスがインストールされているコンピューターの IP アドレス、[port] は Kaspersky CyberTrace サービスがイベントをリッスンするポートです(既定ではポート 9999 が使用されます)。IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings][Service]タブで指定したものと同じです。

      2. Kaspersky CyberTrace サービスの設定情報ファイルEventDelimeter パラメータで値 <![CDATA[(\<\d+\>)]]> を指定します。

    RSA NetWitness のログイベントの転送設定。

    ログイベントの転送設定

  10. /decoder/config/logs.forwarding.enabled パラメータで true を指定します。

これらの手順を実行すると、RSA NetWitness は、cybertrace ルールを満たすイベントを、logs.forwarding.destination パラメータで指定したアドレスに転送するようになります。

イベントの転送についての詳細は、https://community.rsa.com/t5/rsa-netwitness-platform-online/decoder-configure-syslog-forwarding-to-destination/ta-p/572084 を参照してください。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。