ステップ 4(オプション):Kaspersky CyberTrace サービスルールの RSA NetWitness へのインポート
2024年4月11日
ID 167810
Kaspersky CyberTrace の配布キットでは、ディレクトリ integration/rsa/additional_elements
にファイル CyberTrace_Rules.zip があります。このファイルには、レポート、アラート、およびダッシュボードの作成に使用できるルール一式が含まれています。
Kaspersky CyberTrace サービスルールを RSA NetWitness にインポートするには:
- RSA NetWitness のメニューで、[Dashboard]→[Reports]の順に選択します。
RSA NetWitness 11 の場合は、[Monitor]→[Reports]の順に選択します。
- [Settings]スプリットボタン()をクリックし、[Import]を選択します。
ルールのインポート
- ファイル CyberTrace_Rules.zip を選択します。
- [Import Rule]ウィンドウで、[Rule]と[List]をオンにします。
ファイル CyberTrace_Rules.zip を初めてインポートする場合は、これらのチェックボックスはオフのままでも構いません。
- [Import]をクリックします。
Kaspersky CyberTrace サービスルールのインポート
以下の表に、RSA NetWitness にインポートされるルールが記載されています。
ルール | Description |
CyberTrace Detect Botnet | Kaspersky CyberTrace サービスから送信された、ボットネットカテゴリがある検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Malware Hash | Kaspersky CyberTrace サービスから送信されたハッシュ検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Malware IP | Kaspersky CyberTrace サービスから送信された IP アドレス検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Malware URL | Kaspersky CyberTrace サービスから送信された URL 検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Stat | 検知プロセスに関与するすべてのカテゴリを選択します。 以下のフィールドが選択されます:
|
CyberTrace Service events | Kaspersky CyberTrace サービスから送信されたサービスイベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Top 10 IP | 検知された上位 10 個の IP アドレスを選択します。 以下のフィールドが選択されます:
|
CyberTrace Top 10 URL | 検知された上位 10 個の URL を選択します。 以下のフィールドが選択されます:
|
CyberTrace Top 10 Hash | 検知された上位 10 個のハッシュを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detected users | ユーザーごとの検知イベント数を計算します。 |