アクティブチャネル

ARB パッケージを ArcSight にインポートすると、次のアクティブチャネルが使用可能になります：

• CyberTrace alerts

  Kaspersky CyberTrace サービスからのサービスイベントをリアルタイムで表示します。

  • ［Reason］フィールドには、サービスイベントの識別子が含まれています。
  • ［Message］フィールドには、イベントに関する追加情報が含まれています（追加情報がある場合）。

  

  ［CyberTrace alerts］アクティブチャネル

• CyberTrace all matches

  Kaspersky CyberTrace サービスからの検知イベントをリアルタイムで表示します。

  • ［Reason］フィールドには、検知されたオブジェクトのカテゴリが含まれています。
  • ［Detected indicator］フィールドには、検知されたオブジェクトが含まれています。
  • ［Request Url］フィールドには、ArcSight から Kaspersky CyberTrace サービスに送信されたイベント内で検知された URL が含まれています。
  • ［File Hash］フィールドには、ArcSight から Kaspersky CyberTrace サービスに送信されたイベント内で検知されたハッシュが含まれています。
  • ［Source Service Name］フィールドには、イベントを ArcSight に送信したデバイスベンダーの名前が含まれています。
  • ［Source Process Name］フィールドには、イベントを ArcSight に送信したデバイスの名前が含まれています。
  • ［Event Outcome］フィールドには、ArcSight に届いてから Kaspersky CyberTrace サービスに送信された元のイベントの識別子が含まれています。
  • ［Message］フィールドには、検知の簡単な説明が含まれています。説明の形式は次の通りです：「CyberTrace detected <name_of_the_feed_involved_in_the_detection_process>」
  • ［Source User Name］フィールドには、エンドポイントデバイスでアクティブだったユーザーの名前が含まれています。
  • ［Source Address］フィールドには、元イベントによって IP ネットワークで参照されるソースを特定する IPv4 アドレスが含まれています。
  • ［Destination Address］フィールドには、ArcSight から Kaspersky CyberTrace サービスに送信されたイベントで検知された宛先 IPv4 アドレスが含まれています。
  • ［Device Action］フィールドには、元イベントの指定の通りにデバイスが実行した動作が含まれています。
  • ［Popularity］［Threat Score］［Threat］およびその他のフィールドが、検知プロセスに関わるフィードから取得されます。

  

  ［CyberTrace all matches］アクティブチャネル

• CyberTrace hash matches

  Kaspersky CyberTrace サービスからのハッシュ検知イベントをリアルタイムで表示します。

• CyberTrace URL matches

  Kaspersky CyberTrace サービスからの URL 検知イベントをリアルタイムで表示します。

• CyberTrace IP matches

  Kaspersky CyberTrace サービスから IP の検知イベントをリアルタイムで表示します。