FortiSIEM での入力可能フィールドの表示
2024年4月11日
ID 181725
このセクションでは、FortiSIEM が Kaspersky CyberTrace から受信するイベントに入力可能フィールドを表示する方法について説明します。例として、[threat_score
]フィールドが使用されています。
フィードレコードのコンテキストとは別に、送信イベントにいくつかのフィールドを挿入できます。送信イベントのこれらのフィールドには、好きな名前を付けることができます。これらのフィールドは入力可能と呼ばれます。これらは、kl_feed_service.conf 設定情報ファイルのフィードの説明の ActionableFields
要素にリストされます。
まず、kl_feed_service.conf 設定情報ファイルを編集して、Kaspersky CyberTrace で[threat_score
]フィールドを入力可能にします。次に、FortiSIEM で解析ルールを編集して、Kaspersky CyberTrace から受信したイベントを正しく表示します。
kl_feed_service.conf 設定情報ファイルの編集
Kaspersky CyberTrace で[threat_score
]フィールドを入力可能にするには:
- kl_feed_service.conf 設定情報ファイルを開いて編集します。
- Linux では、kl_feed_service.conf ファイルは
/opt/kaspersky/ktfs/etc
ディレクトリにあります。 - Windows では、kl_feed_service.conf ファイルは
%CyberTrace_installDir%\bin
ディレクトリにあります。
- Linux では、kl_feed_service.conf ファイルは
[Configuration]→[OutputSettings]→[EventFormat]
要素で、次の値を指定します:<![CDATA[Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=%Category%;detected=%MatchedIndicator%;act=%DeviceAction%;dst=%RE_IP%;src=%SRC_IP%;md5=%RE_MD5%;sha1=%RE_SHA1%;sha2=%RE_SHA256%;request=%RE_URL%;dvc=%DeviceIp%;sourceServiceName=%Device%;suser=%UserName%;%ActionableFields%msg=%RecordContext%]]>
[Configuration]→[OutputSettings]→[ActionableFieldContextFormat]
要素で、次の値を指定します:%ParamName%=%ParamValue%;
- 要素
<Feed filename="IP_Reputation_Data_Feed.json" enabled="true" type="default">
に、次のデータを追加します:<ActionableFields>
<ActionableField name="threat_score" output_name="kl_threat_score"/>
</ActionableFields>
- kl_feed_service.conf ファイルを保存します。
- 次のコマンドを実行して、Kaspersky CyberTrace サービス(Kaspersky CyberTrace のコンポーネント)を再起動します:
/opt/kaspersky/ktfs/etc/init.d/kl_feed_service restart
(Linux の場合)%CyberTrace_installDir%\bin\kl_control.bat restart
(Windows の場合)
Kaspersky CyberTrace Web を使用して、Kaspersky CyberTrace サービスを再構成して再起動できます。
Kaspersky CyberTrace から受信したイベントの解析ルールの編集
Kaspersky CyberTrace から受信したイベントを解析するためのルールを FortiSIEM で編集するには:
- FortiSIEM Web コンソールを開きます。
- [Admin]→[Device Support]→[Parser]の順に選択します。
- パーサーのリストで[CyberTrace_Event]を開きます。
[Event Parser Definition]ウィンドウが開き、
CyberTrace_Event
パーサーのデータが表示されます。 - 次のようにデータを変更します:
- [Test Event]フィールドに次の値を指定します:
Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=KL_DETECTION_TEST_EVENT;detected=%MatchedIndicator%;act=test_msg;dst=8.8.8.8;src=10.0.15.56;md5=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha2=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;request=http://test.test;dvc=127.0.0.5;sourceServiceName=TEST_DEVICE;suser=test_user;kl_threat_score=100;msg=there_is_some_context:true and_more:true
Kaspersky Lab|Kaspersky CyberTrace|1.0|1|4|alert=KL_TEST_ALERT;msg=there_is_some_context:true and_more:true
- [Parser XML]フィールドに次の値を指定します:
<eventFormatRecognizer>
<![CDATA[Kaspersky\sLab\|Kaspersky\sCyberTrace]]>
</eventFormatRecognizer>
<patternDefinitions>
<pattern name="patVbar" ><![CDATA[[^|]*]]></pattern>
<pattern name="patStrQuote" ><![CDATA[[^" \\]+]]></pattern>
</patternDefinitions>
<parsingInstructions>
<collectFieldsByRegex src="$_rawmsg" >
<regex>
<![CDATA[<:patVbar>\|<:patVbar>\|<_ver:patVbar>\|<_event:patVbar>\|<eventSeverity:patVbar>\|<_body:gPatMesgBody>]]>
</regex>
</collectFieldsByRegex>
<choose>
<when test='$_event = "2"' >
<setEventAttribute attr="eventType" >Kaspersky CyberTrace detection event</setEventAttribute>
</when>
<when test='$_event = "1"' >
<setEventAttribute attr="eventType" >Kaspersky CyberTrace service event</setEventAttribute>
</when>
</choose>
<collectFieldsByKeyValuePair kvsep="=" sep=";" src="$_body" >
<attrKeyMap attr="alertName" key="alert" />
<attrKeyMap attr="threatCategory" key="reason" />
<attrKeyMap attr="detectedIndicator" key="detected" />
<attrKeyMap attr="srcAction" key="act" />
<attrKeyMap attr="destIpAddr" key="dst" />
<attrKeyMap attr="srcIpAddr" key="src" />
<attrKeyMap attr="hashMD5" key="md5" />
<attrKeyMap attr="hashSHA1" key="sha1" />
<attrKeyMap attr="hashSHA2" key="sha2" />
<attrKeyMap attr="uriQuery" key="request" />
<attrKeyMap attr="dvcIpAddr" key="dvc" />
<attrKeyMap attr="serviceName" key="sourceServiceName" />
<attrKeyMap attr="user" key="suser" />
<attrKeyMap attr="msg" key="msg" />
<attrKeyMap attr="threatScore" key="kl_threat_score" />
</collectFieldsByKeyValuePair>
</parsingInstructions>
- [Test Event]フィールドに次の値を指定します:
- [Reformat]をクリックします。
- [Validate]をクリックして、[Parser XML]フィールドの XML データを検証します。
- [Test]をクリックします。
入力したデータをテストするためのウィンドウが開きます。
- [Test Event Parser]ウィンドウで、[Test]をクリックします。
テスト結果のウィンドウにエラーメッセージが表示される場合:
- テクニカルアカウントマネージャー(TAM)に連絡して、[Test Event]フィールドの内容と[Parser XML]フィールドの内容を照合します。
- [Back]をクリックし、[Test Event]フィールドと[Parser XML]フィールドに正しいデータを指定します。
- データを再度テストします。
- [Back]をクリックします。
- [Event Parser Definition]ウィンドウで、[Enabled]をオンにします。
- [Save]をクリックします。
- [Admin]→[Device Support]→[Parser]セクションで[Apply]をクリックし、表示されるメッセージボックスで[Yes]をクリックして変更に同意します。
Kaspersky CyberTrace から受信したイベントが FortiSIEM に正しく表示されるようになりました。