FortiSIEM と連携するための Kaspersky CyberTrace の構成

このセクションでは、FortiSIEM と連携するように Kaspersky CyberTrace を構成する方法について説明します。

Kaspersky CyberTrace を FortiSIEM と連携するように構成するには：

1. https://support.kaspersky.com/datafeeds/download/15920 から Kaspersky CyberTrace をダウンロードします。
2. Kaspersky CyberTrace をインストールします。
   • Linux では、Kaspersky CyberTrace は /opt/kaspersky/ktfs ディレクトリにインストールされます。
   • Windows インストールについては、これ以降、インストールディレクトリを %Cyber​​Trace_installDir% と表記します。
3. kl_feed_service.conf 設定情報ファイルを開いて編集します。
   • Linux では、kl_feed_service.conf ファイルは /opt/kaspersky/ktfs/etc ディレクトリにあります。
   • Windows では、kl_feed_service.conf ファイルは %Cyber​​Trace_installDir%\bin ディレクトリにあります。

   Kaspersky CyberTrace Web を使用して、Kaspersky CyberTrace を構成し、このセクションで説明する設定を指定することもできます。

4. ［Configuration］→［InputSettings］→［ConnectionString］要素に、Kaspersky CyberTrace が動作するコンピューターの IP アドレスと、使用可能なポート（例：9999）が含まれていることを確認します。IP アドレスとポートは、%IP_address%:%port% の形式で指定する必要があります（例：10.43.11.15:9999）。
5. kl_feed_service.conf ファイルで、次の要素を［Configuration］→［InputSetting］→［RegExps］→［Source id="default"］要素に追加します：

   <Device type="CONTEXT">[^\|]*\|([^\|]*\|[^\|]*)\|</Device> <DeviceIp type="CONTEXT" concatenate="#1">dvc\=(\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})(?:$|\s|\,)</DeviceIp> <UserName type="CONTEXT">user\=(.*?)(?:$|\s|\,)</UserName> <DeviceAction type="CONTEXT">act=(.*?)(?:$|\s|\,)</DeviceAction>

6. ［Configuration］→［OutputSettings］→［AlertFormat］要素で、次の値を指定します：

   <![CDATA[Kaspersky Lab|Kaspersky CyberTrace|1.0|1|4|alert=%Alert%;msg=%RecordContext%]]>

   この値を指定するために Kaspersky CyberTrace Web を使用している場合は、値の先頭の <![CDATA[ と値の末尾の ]]> を省略します。

7. ［Configuration］→［OutputSettings］→［EventFormat］要素で、次の値を指定します：

   <![CDATA[Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=%Category%;detected=%MatchedIndicator%;act=%DeviceAction%;dst=%RE_IP%;src=%SRC_IP%;md5=%RE_MD5%;sha1=%RE_SHA1%;sha2=%RE_SHA256%;request=%RE_URL%;dvc=%DeviceIp%;sourceServiceName=%Device%;suser=%UserName%;msg=%RecordContext%]]>

   この値を指定するために Kaspersky CyberTrace Web を使用している場合は、値の先頭の <![CDATA[ と値の末尾の ]]> を省略します。

8. ［Configuration］→［OutputSettings］→［ConnectionString］要素で、Kaspersky CyberTrace が検知イベントを送信する FortiSIEM インストールの IP アドレスとポート 514 を指定します。

   IP アドレスとポートを %IP_address%:%port% の形式で指定します（例：10.43.11.43:514）。

9. ［Configuration］→［NormalizingRules］要素で、次のルールを指定します：

   <Replace input="&lt;" output="&#10;&lt;" />

   次のように、Kaspersky CyberTrace Web を使用してこのルールを作成することもできます：

   

   FortiSIEM イベントの正規化ルール

10. 次のコマンドを実行して、Kaspersky CyberTrace のモジュールの 1 つである Kaspersky CyberTrace サービスを再起動します：
    • /opt/kaspersky/ktfs/etc/init.d/kl_feed_service restart（Linux の場合）
    • %CyberTrace_installDir%\bin\kl_control.bat restart（Windows の場合）

FortiSIEM での転送されたイベントの形式の表示

上記の手順では、FortiSIEM から送信されたイベントから IP アドレス、URL、およびハッシュを抽出するために汎用の正規表現が使用されることを前提としています。イベントの形式に応じて、これらの正規表現とその他の正規表現を変更する必要がある場合があります。この操作は、後で検知イベントに挿入されて FortiSIEM に送信されるユーザー名またはその他のデータをイベントから抽出するなどの場合に、必要になることがあります。既存の正規表現を編集したり、新しい正規表現を追加したりする前に、Kaspersky CyberTrace に到着した元のイベントを分析する必要があります。

これらのイベントは Kaspersky CyberTrace Web で閲覧することもできます。FortiSIEM でイベント転送を構成したら、Kaspersky CyberTrace Web で［Settings］→［Matching］タブの順に選択すると、［Event parsing rules］セクションに、Kaspersky CyberTrace に到着したイベントが表示されます。

FortiSIEM でイベントの形式を表示するには：

1. FortiSIEM Web コンソールで、［Analytics］タブを選択します。
2. ［Edit Filters and Time Range］テキストフィールド内をクリックします。

   

   FortiSIEM イベントの選択

   ［Filters］フォームが表示されます。ここでイベントのフィルターと時間範囲を設定できます。

3. 必要なイベントのフィルターを指定します。

   たとえば、FortiSIEM に到着したイベントのソースデバイスの IP アドレス（Reporting IP 属性）を指定できます。また、［Time］設定グループでは、イベントの時間範囲（たとえば、過去 10 分間）を指定したり、イベントがリアルタイムで表示されるように指定したりできます。

   

   FortiSIEM イベントのフィルターの設定

4. ［Save & Run］をクリックします。

   ［Raw Event Log］列には、FortiSIEM から Cyber​​Trace に転送される場合と同じ形式のイベントが記載されます。

   

   表示される FortiSIEM イベント

［Analytics］タブでのイベントのリクエストの詳細は、http://help.fortinet.com/fsiem/5-1-1/Online-Help/HTML5_Help/Viewing_real_time_search_results.htm を参照してください。