ArcSight から転送するイベントのフィルタリング
2024年4月11日
ID 171425
このセクションでは、Kaspersky CyberTrace サービスに転送するイベントを ArcSight でフィルタリングする方法について説明します。
ARB パッケージからインポートされるフィルター
ARB パッケージのインポート後、ArcSight には、Kaspersky CyberTrace サービスに転送するイベントのフィルタリングに使用される[CyberTrace forwarding events
]フィルターがあります。
元の[CyberTrace forwarding events
]フィルターでは、次のベンダーのいずれかのデバイスによって送信された[Destination Address
]フィールドの IP アドレス、[Request URL
]フィールドの URL、または[fileHash
]フィールドのハッシュを含んだイベントが選択されます:
- Cisco
- Microsoft
- Juniper Networks
- Trend Micro
- McAfee
- Imperva
- CheckPoint
- Blue Coat
- Apache
- Fortinet
- Sourcefire
- F5 Networks
- FireEye
- Palo Alto Networks
- Squid
- CyberTrace 検証キット(検証テスト用)
また、元の[CyberTrace forwarding events
]フィルターで選択されたイベントは、次の条件のいずれかを満たす必要があります:
- イベントの[
Source Address
]フィールドまたは[Source Host Name
]フィールドが空ではなく、[Destination Address
]フィールドがサブネット192.168.0.0/16
、172.16.0.0/12
、または10.0.0.0/8
ではない。 - イベントの[
Destination Address
]フィールドまたは[Destination Host Name
]フィールドが空ではなく、[Source Address
]フィールドがサブネット192.168.0.0/16
、172.16.0.0/12
、または10.0.0.0/8
ではない。 - イベントの[
Request URL
]フィールドに URL が含まれている。 - イベントの[
fileHash
]フィールドにハッシュが含まれている。
元の[CyberTrace forwarding events
]フィルターを使用すると、ArcSight ESM のパフォーマンスが大幅に低下します。コンピューター ArcSight ESM の負荷を軽減するには、送信するイベント数を減らすかチェック回数を減らすようにフィルターを編集してください。たとえば、イベントが ArcSight に送信されないベンダーや Kaspersky CyberTrace サービスによるチェックが不要なイベントのベンダーをフィルターから削除できます。
既存のフィルターのチェック
場合によっては、目的のイベントが既存のフィルターによって選択されているかどうかをチェックすることが必要です。
目的のイベントが既存のフィルターによって選択されているかどうかをチェックするには:
- アクティブチャネルをフィルターで作成します。
[Filters]ツリーのフィルターノードを右クリックして、[Create Channel with Filter]を選択します。
チャネルの作成
- 表示するイベントの時間間隔を任意で設定してください。
時間間隔の設定
- [Inline Filter]フィールドで、出力結果を絞り込む追加のフィルターを任意で設定してください。
たとえば、表示するイベントのデバイスベンダー、デバイス製品、または両方を設定できます。
インラインフィルターの設定
- 選択する(および追加条件を満たす)イベントが、作成したアクティブチャネルに表示されていることを確認します。
既存のフィルターの編集
場合によっては既存のフィルターを変更する必要があります。たとえば、特定のデバイスベンダーからのイベントがアクティブチャネルに表示されない場合は、デバイスベンダーをフィルタリングするフィルターの条件にそのデバイスベンダーを追加できます。
デバイスベンダーをフィルターに追加するには:
- フィルターを開きます。
- [Filter]タブを選択します。
[Event conditions]ツリー項目にネストされているフィルター条件が表示されます。
- [Device Vendor]条件を編集して、イベントを Kaspersky CyberTrace サービスに送信する必要があるデバイスベンダーにその条件を追加します。
フィルター条件
ArcSight でのイベント情報の閲覧
出力イベントのフィルタリングや追加用のフィールドを選択するために、イベントに含まれている情報を閲覧することができます。
ArcSight でイベント情報を閲覧するには:
アクティブチャネルで、Kaspersky CyberTrace サービスに転送するイベントをダブルクリックします。
ArcSight コンソールに、イベントデータが含まれる[Event Inspector]タブが表示されます。
[Event Inspector]タブ
ArcSight と Kaspersky CyberTrace サービスは CEF 形式でイベントを扱いますが、ArcSight コンソールには、人が読める形式でイベントフィールド名が表示されます。次の表では、これらの 2 セットのフィールド名の一部を対応させています。
CEF 形式のフィールド名と ArcSight コンソールに表示されるフィールド名
CEF 形式のフィールド名 | ArcSight コンソールに表示されるフィールド名 |
dst | Destination Address |
dvc | Device Address |
msg | Message |
shost | Source Host Name |