サポート

法人向けアプリケーション

Kaspersky CyberTrace

インストールおよび連携ガイド

パート 2:Kaspersky CyberTrace とイベントソースの連携

ArcSight との連携

標準的な連携(ArcSight)

ステップ 3:ArcSight との対話のための CyberTrace の構成
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

ステップ 3:ArcSight との対話のための CyberTrace の構成

2024年4月11日

ID 174019

このセクションでは、通常の稼働中に ArcSight と対話するように CyberTrace を構成する方法について説明します。

ArcSight と対話するように CyberTrace を構成するには:

  1. Kaspersky CyberTrace Web を開きます。
  2. Settings]→[Service]タブの順に選択します。
  3. Connection settings]セクションの[Service listens on]で、Kaspersky CyberTrace サービスが受信イベントをリッスンする IP アドレスとポートを選択します。IP アドレスとポートは、ArcSight Forwarding Connector のインストール時に設定されます(既定値は 127.0.0.1:9999)。
  4. Matching]タブ→[Edit default rules]の順に選択します。

    Default properties]フォームが開きます。

  5. Normalization rules]タブで次の手順を実行します:
    • To replace]フィールドに記号シーケンス「\=」を入力する
    • Replace with]フィールドに記号「=」を入力する

    変更を行った後、[Normalization rules]タブは次のようになります:

    [Normalization rules]タブ。

    Normalization rules]タブ

  6. Regular expressions]タブを選択します。このタブには、URL (プロトコル付き)、ハッシュ、IP アドレス(src と dst)、デバイス名、ベンダー名、デバイス IP アドレス、ユーザー名、イベント ID に一致する汎用の正規表現があります。イベントに一致するようにこれらの正規表現を変更します。
  7. Default properties]フォームを閉じます。
  8. Events format]タブの[Alert events format]フィールドに次の文字列を入力します:

    CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext%

  9. Detection events format]フィールドで次の文字列を指定します:

    CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cn3Label=Confidence cn3=%Confidence% cs6Label=Context cs6=%RecordContext%

ArcSight および入力可能フィールド

Kaspersky Data Feeds では、入力可能フィールドが使用されます。入力可能フィールドを[Settings]→[Feeds]タブで確認できます。

  • Demo Botnet C&C URL Data Feed と Botnet C&C URL Data Feed:

    フィールド名

    出力

    CEF フィールド

    mask

    cs1

    deviceCustomString1

    first_seen

    flexString1

    flexString1

    last_seen

    flexString2

    flexString2

    popularity

    cn2

    deviceCustomNumber2

    threat

    cs3

    deviceCustomString3

    urls/url

    cs4

    deviceCustomString4

    whois/domain

    cs2

    deviceCustomString2
  • Demo Malicious Hash Data Feed と Malicious Hash Data Feed:

    フィールド名

    出力

    CEF フィールド

    first_seen

    flexString1

    flexString1

    last_seen

    flexString2

    flexString2

    popularity

    cn2

    deviceCustomNumber2

    threat

    cs3

    deviceCustomString3

    urls/url

    cs4

    deviceCustomString4

    file_size

    fsize

    file_size
  • Demo IP Reputation Feed と IP Reputation Data Feed:

    フィールド名

    出力

    CEF フィールド

    first_seen

    flexString1

    flexString1

    last_seen

    flexString2

    flexString2

    popularity

    cn2

    deviceCustomNumber2

    threat_score

    cn1

    deviceCustomNumber1

    domains

    cs2

    deviceCustomString2

    urls/url

    cs4

    deviceCustomString4

    files/threat

    cs3

    deviceCustomString3
  • Malicious URL Data Feed:

    フィールド名

    出力

    CEF フィールド

    mask

    cs1

    deviceCustomString1

    first_seen

    flexString1

    flexString1

    last_seen

    flexString2

    flexString2

    popularity

    cn2

    deviceCustomNumber2

    files/threat

    cs3

    deviceCustomString3

    category

    cs4

    deviceCustomString4

    whois/domain

    cs2

    deviceCustomString2
  • Mobile Malicious Hash Data Feed:

    フィールド名

    出力

    CEF フィールド

    first_seen

    flexString1

    flexString1

    last_seen

    flexString2

    flexString2

    popularity

    cn2

    deviceCustomNumber2

    threat

    cs3

    deviceCustomString3

    file_size

    fsize

    file_size
  • Phishing URL Data Feed:

    フィールド名

    出力

    CEF フィールド

    mask

    cs1

    deviceCustomString1

    first_seen

    flexString1

    flexString1

    last_seen

    flexString2

    flexString2

    popularity

    cn2

    deviceCustomNumber2

    industry

    deviceFacility

    deviceFacility

    whois/domain

    cs2

    deviceCustomString2
  • Mobile Botnet Data Feed:

    フィールド名

    出力

    CEF フィールド

    threat

    cs3

    deviceCustomString3
  • APT URL Data Feed:

    フィールド名

    出力

    CEF フィールド

    detection_date

    flexString1

    flexString1

    publication_name

    cs3

    deviceCustomString3
  • APT IP Data Feed:

    フィールド名

    出力

    CEF フィールド

    detection_date

    flexString1

    flexString1

    publication_name

    cs3

    deviceCustomString3
  • APT Hash Data Feed:

    フィールド名

    出力

    CEF フィールド

    detection_date

    flexString1

    flexString1

    publication_name

    cs3

    deviceCustomString3
  • IoT URL Data Feed:

    フィールド名

    出力

    CEF フィールド

    mask

    cs1

    deviceCustomString1

    first_seen

    flexString1

    flexString1

    last_seen

    flexString2

    flexString2

    popularity

    cn2

    deviceCustomNumber2

    files/threat

    cs3

    deviceCustomString3

Kaspersky Data Feeds からの情報が入力された ArcSight フィールドの消去

Kaspersky Data Feeds 以外からの情報のデータに CEF フィールドを使用する場合は、このフィールドを消去する必要があります。

CEF フィールドを消去するには:

  1. Kaspersky CyberTrace Web の[Settings]タブを選択します。
  2. Feeds]タブを選択します。
  3. Filtering rules for feeds]セクションで[Kaspersky]タブが選択されていることを確認したら、消去するフィールドが含まれている Kaspersky Threat Data Feeds をクリックします。
  4. Actionable fields]セクションで、消去する CEF フィールドの名前を含んだ[Output]フィールドを見つけます。
  5. 前のステップで見つけた[Output]フィールドの横にある[Delete]アイコン(ArcSight の[Delete](ゴミ箱)アイコン。)をクリックします。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。