ステップ 4(オプション):Kaspersky CyberTrace サービスルールの RSA NetWitness へのインポート
2024年4月11日
ID 167810
Kaspersky CyberTrace の配布キットでは、ディレクトリ integration/rsa/additional_elements にファイル CyberTrace_Rules.zip があります。このファイルには、レポート、アラート、およびダッシュボードの作成に使用できるルール一式が含まれています。
Kaspersky CyberTrace サービスルールを RSA NetWitness にインポートするには:
- RSA NetWitness のメニューで、[Dashboard]→[Reports]の順に選択します。
RSA NetWitness 11 の場合は、[Monitor]→[Reports]の順に選択します。
- [Settings]スプリットボタン(
![RSA NetWitness の[Settings]スプリットボタン。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/rsasa200203.png)
)をクリックし、[Import]を選択します。スプリットボタン →[Import]メニュー項目。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/rsasa17.png)
ルールのインポート
- ファイル CyberTrace_Rules.zip を選択します。
- [Import Rule]ウィンドウで、[Rule]と[List]をオンにします。
ファイル CyberTrace_Rules.zip を初めてインポートする場合は、これらのチェックボックスはオフのままでも構いません。
- [Import]をクリックします。
![RSA NetWitness の[Import Rule]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/rsasa18.jpg)
Kaspersky CyberTrace サービスルールのインポート
以下の表に、RSA NetWitness にインポートされるルールが記載されています。
ルール | Description |
CyberTrace Detect Botnet | Kaspersky CyberTrace サービスから送信された、ボットネットカテゴリがある検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Malware Hash | Kaspersky CyberTrace サービスから送信されたハッシュ検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Malware IP | Kaspersky CyberTrace サービスから送信された IP アドレス検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Malware URL | Kaspersky CyberTrace サービスから送信された URL 検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Stat | 検知プロセスに関与するすべてのカテゴリを選択します。 以下のフィールドが選択されます:
|
CyberTrace Service events | Kaspersky CyberTrace サービスから送信されたサービスイベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Top 10 IP | 検知された上位 10 個の IP アドレスを選択します。 以下のフィールドが選択されます:
|
CyberTrace Top 10 URL | 検知された上位 10 個の URL を選択します。 以下のフィールドが選択されます:
|
CyberTrace Top 10 Hash | 検知された上位 10 個のハッシュを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detected users | ユーザーごとの検知イベント数を計算します。 |