FortiSIEM からのイベント転送の構成

このセクションでは、FortiSIEM から Kaspersky CyberTrace へのイベント転送を構成する方法について説明します。

FortiSIEM から Cyber​​Trace へのイベント転送を構成するには：

1. FortiSIEM Web コンソールを開きます。

   使用する FortiSIEM アカウントには管理者権限が必要です。

2. ［Admin］→［General Settings］→［Event Handling］→［Forwarding］→［New］の順に選択します。

   

   新しい転送ルールの作成

   ［Event Forwarding Rule］ウィンドウが開きます。

3. イベント転送設定を指定します：
   • ［Reporting Device］フィールドで、イベントを Kaspersky CyberTrace に転送する必要があるデバイスを指定します。［All］を選択すると、すべてのデバイスからのイベントを Kaspersky CyberTrace に転送する必要があることを指定できます。
     • さらに選択するには、下矢印をクリックして［Event Dropping Rule］→［Select Reporting Devices］ウィンドウを開き、［Folders］、［Items］、および［Selections］ペインで選択を行います。

     ［Reporting Device］フィールドを空にすることはできません。

   • ［Event type］フィールドで、Kaspersky CyberTrace に転送する必要があるイベントのタイプを指定します。［All］を選択すると、すべてのタイプのイベントを Kaspersky CyberTrace に転送する必要があることを指定できます。
     • さらに選択するには、下矢印をクリックして［Event Forwarding Rule］→［Select Event Types］ウィンドウを開き、［Folders］、［Items］、および［Selections］ペインで選択を行います。

   

   イベントタイプの選択

   ［Event type］フィールドを空にすることはできません。

   • ［Traffic Type］フィールドで、［Syslog］を選択します。
   • ［Source IP］フィールドでは、すべての転送イベントの対応するフィールドに存在する必要がある値を指定できます。
   • ［Destination IP］フィールドでは、すべての転送イベントの対応するフィールドに存在する必要がある値を指定できます。
   • ［Severity］フィールドでは、イベントの重大度を指定できます。
   • ［Regex Filter］フィールドでは、転送されるイベントが一致する必要がある正規表現を指定できます。
   • ［Forwarding Protocol］フィールドで、［TCP］を選択します。
   • ［Forwarding to IP］フィールドに、Kaspersky CyberTrace が実行されているコンピューターの IP アドレスを指定します。

     この IP アドレスは、kl_feed_service.conf 設定情報ファイルの［InputSettings］→［ConnectionString］要素で指定されます。

   • ［Forwarding to Port］フィールドに、Kaspersky CyberTrace が実行されているコンピューターのポートを指定します。

     このポートは、kl_feed_service.conf 設定情報ファイルの［InputSettings］→［ConnectionString］要素で指定されます。

   • ［Format］フィールドで［CEF］を選択します。

   

   ［Event Forwarding Rule］ウィンドウ

4. ［Save］をクリックします。

   ［Event Forwarding Rule］ウィンドウが閉じ、［Forwarding］ウィンドウに新しいイベント転送ルールが表示されます。

5. ［Forwarding］ウィンドウで、新しいイベント転送ルールに対して［Enable］を選択します。

   

   ［Event Forwarding Rule］ウィンドウ