FortiSIEM での Kaspersky CyberTrace から受信したイベントの解析ルールの追加
2024年4月11日
ID 181685
このセクションでは、Kaspersky CyberTrace から受信したイベントを解析するためのルールを FortiSIEM に追加する方法について説明します。
イベントを解析するためのルールを FortiSIEM に追加するには:
- FortiSIEM Web コンソールを開きます。
- [Admin]→[Device Support]→[Parser]の順に選択します。
- 新しいパーサーを追加したい位置の直前のパーサーを選択し、[New]をクリックします。
[Event Parser Definition]ウィンドウが表示されます。
- 次の値を指定します:
- [Name]フィールドに「CyberTrace_Event」と指定します。
- [Device Type]フィールドで、[Kaspersky CyberTrace]を選択します。
- [Test Event]フィールドに次の値を指定します:
Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=KL_DETECTION_TEST_EVENT;detected=%MatchedIndicator%;act=test_msg;dst=8.8.8.8;src=10.0.15.56;md5=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha2=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;request=http://test.test;dvc=127.0.0.5;sourceServiceName=TEST_DEVICE;suser=test_user;msg=there_is_some_context:true and_more:true
Kaspersky Lab|Kaspersky CyberTrace|1.0|1|4|alert=KL_TEST_ALERT;msg=there_is_some_context:true and_more:true
- [Parser XML]フィールドに次の値を指定します:
<eventFormatRecognizer>
<![CDATA[Kaspersky\sLab\|Kaspersky\sCyberTrace]]>
</eventFormatRecognizer>
<patternDefinitions>
<pattern name="patVbar" ><![CDATA[[^|]*]]></pattern>
<pattern name="patStrQuote" ><![CDATA[[^" \\]+]]></pattern>
</patternDefinitions>
<parsingInstructions>
<collectFieldsByRegex src="$_rawmsg" >
<regex>
<![CDATA[<:patVbar>\|<:patVbar>\|<_ver:patVbar>\|<_event:patVbar>\|<eventSeverity:patVbar>\|<_body:gPatMesgBody>]]>
</regex>
</collectFieldsByRegex>
<choose>
<when test='$_event = "2"' >
<setEventAttribute attr="eventType" >Kaspersky CyberTrace detection event</setEventAttribute>
</when>
<when test='$_event = "1"' >
<setEventAttribute attr="eventType" >Kaspersky CyberTrace service event</setEventAttribute>
</when>
</choose>
<collectFieldsByKeyValuePair kvsep="=" sep=";" src="$_body" >
<attrKeyMap attr="alertName" key="alert" />
<attrKeyMap attr="threatCategory" key="reason" />
<attrKeyMap attr="detectedIndicator" key="detected" />
<attrKeyMap attr="srcAction" key="act" />
<attrKeyMap attr="destIpAddr" key="dst" />
<attrKeyMap attr="srcIpAddr" key="src" />
<attrKeyMap attr="hashMD5" key="md5" />
<attrKeyMap attr="hashSHA1" key="sha1" />
<attrKeyMap attr="hashSHA2" key="sha2" />
<attrKeyMap attr="uriQuery" key="request" />
<attrKeyMap attr="dvcIpAddr" key="dvc" />
<attrKeyMap attr="serviceName" key="sourceServiceName" />
<attrKeyMap attr="user" key="suser" />
<attrKeyMap attr="msg" key="msg" />
</collectFieldsByKeyValuePair>
</parsingInstructions>
新しい正規表現を追加し、kl_feed_service.conf 設定情報ファイル内の検知イベントの形式を変更する場合は、[Test Event]フィールドに検知イベントの新しい形式を指定します。また、[Parser XML]フィールドで、
collectFieldsByKeyValuePair
要素に、Kaspersky CyberTrace からのイベント内のフィールドと、そのフィールドの値を保存する必要がある FortiSIEM フィールドとの対応付けルールを追加します。対応付けルールは<attrKeyMap attr="%FortiSIEM_field%" key="%Kaspersky_CyberTrace_field%" />
の形式にする必要があります。
パーサー定義の編集
- [Reformat]をクリックします。
- [Validate]をクリックして、[Parser XML]フィールドの XML データを検証します。
検証が成功したか失敗したかを示すメッセージが表示されます。
- [Test]をクリックします。
入力したデータをテストするためのウィンドウが開きます。
- [Test Event Parser]ウィンドウで、[Test]をクリックします。
[Errors]列にエラーメッセージが表示される場合:
- テクニカルアカウントマネージャー(TAM)に連絡して、[Test Event]フィールドの内容と[Parser XML]フィールドの内容を照合します。
- [Back]をクリックし、[Test Event]フィールドと[Parser XML]フィールドに正しいデータを指定します。
- データを再度テストします。
- [Back]をクリックします。
- [Event Parser Definition]ウィンドウで、[Enabled]をオンにします。
- [Save]をクリックします。
- [Admin]→[Device Support]→[Parser]セクションで[Apply]をクリックし、表示されるメッセージボックスで[Yes]をクリックして変更に同意します。
イベントパーサーの詳細は、http://help.fortinet.com/fsiem/5-1-1/Online-Help/HTML5_Help/Configuring_parsers.htm を参照してください。