ステップ 3:ArcSight との対話のための CyberTrace の構成
2024年4月11日
ID 174019
このセクションでは、通常の稼働中に ArcSight と対話するように CyberTrace を構成する方法について説明します。
ArcSight と対話するように CyberTrace を構成するには:
- Kaspersky CyberTrace Web を開きます。
- [Settings]→[Service]タブの順に選択します。
- [Connection settings]セクションの[Service listens on]で、Kaspersky CyberTrace サービスが受信イベントをリッスンする IP アドレスとポートを選択します。IP アドレスとポートは、ArcSight Forwarding Connector のインストール時に設定されます(既定値は
127.0.0.1:9999
)。 - [Matching]タブ→[Edit default rules]の順に選択します。
[Default properties]フォームが開きます。
- [Normalization rules]タブで次の手順を実行します:
- [To replace]フィールドに記号シーケンス「
\=
」を入力する - [Replace with]フィールドに記号「
=
」を入力する
変更を行った後、[Normalization rules]タブは次のようになります:
[Normalization rules]タブ
- [To replace]フィールドに記号シーケンス「
- [Regular expressions]タブを選択します。このタブには、URL (プロトコル付き)、ハッシュ、IP アドレス(src と dst)、デバイス名、ベンダー名、デバイス IP アドレス、ユーザー名、イベント ID に一致する汎用の正規表現があります。イベントに一致するようにこれらの正規表現を変更します。
- [Default properties]フォームを閉じます。
- [Events format]タブの[Alert events format]フィールドに次の文字列を入力します:
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext%
- [Detection events format]フィールドで次の文字列を指定します:
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cn3Label=Confidence cn3=%Confidence% cs6Label=Context cs6=%RecordContext%
ArcSight および入力可能フィールド
Kaspersky Data Feeds では、入力可能フィールドが使用されます。入力可能フィールドを[Settings]→[Feeds]タブで確認できます。
- Demo Botnet C&C URL Data Feed と Botnet C&C URL Data Feed:
フィールド名
出力
CEF フィールド
mask
cs1
deviceCustomString1
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
threat
cs3
deviceCustomString3
urls/url
cs4
deviceCustomString4
whois/domain
cs2
deviceCustomString2
- Demo Malicious Hash Data Feed と Malicious Hash Data Feed:
フィールド名
出力
CEF フィールド
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
threat
cs3
deviceCustomString3
urls/url
cs4
deviceCustomString4
file_size
fsize
file_size
- Demo IP Reputation Feed と IP Reputation Data Feed:
フィールド名
出力
CEF フィールド
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
threat_score
cn1
deviceCustomNumber1
domains
cs2
deviceCustomString2
urls/url
cs4
deviceCustomString4
files/threat
cs3
deviceCustomString3
- Malicious URL Data Feed:
フィールド名
出力
CEF フィールド
mask
cs1
deviceCustomString1
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
files/threat
cs3
deviceCustomString3
category
cs4
deviceCustomString4
whois/domain
cs2
deviceCustomString2
- Mobile Malicious Hash Data Feed:
フィールド名
出力
CEF フィールド
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
threat
cs3
deviceCustomString3
file_size
fsize
file_size
- Phishing URL Data Feed:
フィールド名
出力
CEF フィールド
mask
cs1
deviceCustomString1
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
industry
deviceFacility
deviceFacility
whois/domain
cs2
deviceCustomString2
- Mobile Botnet Data Feed:
フィールド名
出力
CEF フィールド
threat
cs3
deviceCustomString3
- APT URL Data Feed:
フィールド名
出力
CEF フィールド
detection_date
flexString1
flexString1
publication_name
cs3
deviceCustomString3
- APT IP Data Feed:
フィールド名
出力
CEF フィールド
detection_date
flexString1
flexString1
publication_name
cs3
deviceCustomString3
- APT Hash Data Feed:
フィールド名
出力
CEF フィールド
detection_date
flexString1
flexString1
publication_name
cs3
deviceCustomString3
- IoT URL Data Feed:
フィールド名
出力
CEF フィールド
mask
cs1
deviceCustomString1
first_seen
flexString1
flexString1
last_seen
flexString2
flexString2
popularity
cn2
deviceCustomNumber2
files/threat
cs3
deviceCustomString3
Kaspersky Data Feeds からの情報が入力された ArcSight フィールドの消去
Kaspersky Data Feeds 以外からの情報のデータに CEF フィールドを使用する場合は、このフィールドを消去する必要があります。
CEF フィールドを消去するには:
- Kaspersky CyberTrace Web の[Settings]タブを選択します。
- [Feeds]タブを選択します。
- [Filtering rules for feeds]セクションで[Kaspersky]タブが選択されていることを確認したら、消去するフィールドが含まれている Kaspersky Threat Data Feeds をクリックします。
- [Actionable fields]セクションで、消去する CEF フィールドの名前を含んだ[Output]フィールドを見つけます。
- 前のステップで見つけた[Output]フィールドの横にある[Delete]アイコン()をクリックします。