Kaspersky CyberTrace サービスのログソースとしての追加

QRadar が、Kaspersky CyberTrace サービスから送信されたイベントを受信するには、Kaspersky CyberTrace サービスをログソースとして扱う必要があります。Kaspersky CyberTrace サービスから送信されたイベントは QRadar ログイベント拡張フォーマット（LEEF）形式で、QRadar の新しいログソースはユニバーサル LEEF ログソースになります。

Kaspersky CyberTrace サービスをログソースとして QRadar に追加するには：

1. ［Admin］→［Log Sources］→［Add］の順にメニュー項目を選択します。
2. ［Add a log source］ウィンドウで、ログソースの一意の名前を入力します。

   このソースからのすべてのイベントがこの名前で GUI に表示されます。

3. ログソースの説明を入力します。
4. ［Log Source Type］コントロールで［Universal LEEF］を選択します。
5. ［Protocol Configuration］ドロップダウンリストで［Syslog］を選択します。
6. Kaspersky CyberTrace サービス設定情報ファイル（この場合は KL_Threat_Feed_Service_v2）で設定した識別子を［Log Source Identifier］テキストボックスに入力します。この識別子は［EventFormat］パラメータと［AlertFormat］パラメータで使用されます。

   ［Coalescing Events］はオンにしないでください。オンにすると、Kaspersky CyberTrace サービスからのすべてのイベントが 1 つのイベントに結合されて、役立つ情報になりません。

   

   QRadar へのログソースの追加

7. ［Save］をクリックします。

同じ操作を実行して、KL_Verification_Tool 識別子を持つ別のログソースを追加します。このログソースは、Kaspersky CyberTrace サービスと QRadar 間のやり取りのテストに使用されます。

2 つのログソースを追加したら、［Admin］→［Deploy Changes］の順にメニュー項目を選択します。