サポート

法人向けアプリケーション

Kaspersky CyberTrace

インストールおよび連携ガイド

パート 2:Kaspersky CyberTrace とイベントソースの連携

FortiSIEM との連携

FortiSIEM での Kaspersky CyberTrace からのイベントの受信

FortiSIEM での入力可能フィールドの表示
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

FortiSIEM での入力可能フィールドの表示

2024年4月11日

ID 181725

このセクションでは、FortiSIEM が Kaspersky CyberTrace から受信するイベントに入力可能フィールドを表示する方法について説明します。例として、[threat_score]フィールドが使用されています。

フィードレコードのコンテキストとは別に、送信イベントにいくつかのフィールドを挿入できます。送信イベントのこれらのフィールドには、好きな名前を付けることができます。これらのフィールドは入力可能と呼ばれます。これらは、kl_feed_service.conf 設定情報ファイルのフィードの説明の ActionableFields 要素にリストされます。

まず、kl_feed_service.conf 設定情報ファイルを編集して、Kaspersky CyberTrace で[threat_score]フィールドを入力可能にします。次に、FortiSIEM で解析ルールを編集して、Kaspersky CyberTrace から受信したイベントを正しく表示します。

kl_feed_service.conf 設定情報ファイルの編集

Kaspersky CyberTrace で[threat_score]フィールドを入力可能にするには:

  1. kl_feed_service.conf 設定情報ファイルを開いて編集します。
    • Linux では、kl_feed_service.conf ファイルは /opt/kaspersky/ktfs/etc ディレクトリにあります。
    • Windows では、kl_feed_service.conf ファイルは %Cyber​​Trace_installDir%\bin ディレクトリにあります。
  2. [Configuration]→[OutputSettings]→[EventFormat]要素で、次の値を指定します:

    <![CDATA[Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=%Category%;detected=%MatchedIndicator%;act=%DeviceAction%;dst=%RE_IP%;src=%SRC_IP%;md5=%RE_MD5%;sha1=%RE_SHA1%;sha2=%RE_SHA256%;request=%RE_URL%;dvc=%DeviceIp%;sourceServiceName=%Device%;suser=%UserName%;%ActionableFields%msg=%RecordContext%]]>
  3. [Configuration]→[OutputSettings]→[ActionableFieldContextFormat]要素で、次の値を指定します:

    %ParamName%=%ParamValue%;
  4. 要素 <Feed filename="IP_Reputation_Data_Feed.json" enabled="true" type="default"> に、次のデータを追加します:

    <ActionableFields>

    <ActionableField name="threat_score" output_name="kl_threat_score"/>

    </ActionableFields>
  5. kl_feed_service.conf ファイルを保存します。
  6. 次のコマンドを実行して、Kaspersky CyberTrace サービス(Kaspersky CyberTrace のコンポーネント)を再起動します:
    • /opt/kaspersky/ktfs/etc/init.d/kl_feed_service restart(Linux の場合)
    • %CyberTrace_installDir%\bin\kl_control.bat restart(Windows の場合)

Kaspersky CyberTrace Web を使用して、Kaspersky CyberTrace サービスを再構成して再起動できます。

Kaspersky CyberTrace から受信したイベントの解析ルールの編集

Kaspersky CyberTrace から受信したイベントを解析するためのルールを FortiSIEM で編集するには:

  1. FortiSIEM Web コンソールを開きます。
  2. Admin]→[Device Support]→[Parser]の順に選択します。
  3. パーサーのリストで[Cyber​​Trace_Event]を開きます。

    Event Parser Definition]ウィンドウが開き、Cyber​​Trace_Event パーサーのデータが表示されます。

  4. 次のようにデータを変更します:
    • Test Event]フィールドに次の値を指定します:

      Kaspersky Lab|Kaspersky CyberTrace|1.0|2|8|reason=KL_DETECTION_TEST_EVENT;detected=%MatchedIndicator%;act=test_msg;dst=8.8.8.8;src=10.0.15.56;md5=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;sha2=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;request=http://test.test;dvc=127.0.0.5;sourceServiceName=TEST_DEVICE;suser=test_user;kl_threat_score=100;msg=there_is_some_context:true and_more:true

      Kaspersky Lab|Kaspersky CyberTrace|1.0|1|4|alert=KL_TEST_ALERT;msg=there_is_some_context:true and_more:true
    • Parser XML]フィールドに次の値を指定します:

      <eventFormatRecognizer>

      <![CDATA[Kaspersky\sLab\|Kaspersky\sCyberTrace]]>

      </eventFormatRecognizer>

      <patternDefinitions>

      <pattern name="patVbar" ><![CDATA[[^|]*]]></pattern>

      <pattern name="patStrQuote" ><![CDATA[[^" \\]+]]></pattern>

      </patternDefinitions>

      <parsingInstructions>

      <collectFieldsByRegex src="$_rawmsg" >

      <regex>

      <![CDATA[<:patVbar>\|<:patVbar>\|<_ver:patVbar>\|<_event:patVbar>\|<eventSeverity:patVbar>\|<_body:gPatMesgBody>]]>

      </regex>

      </collectFieldsByRegex>

      <choose>

      <when test='$_event = "2"' >

      <setEventAttribute attr="eventType" >Kaspersky CyberTrace detection event</setEventAttribute>

      </when>

      <when test='$_event = "1"' >

      <setEventAttribute attr="eventType" >Kaspersky CyberTrace service event</setEventAttribute>

      </when>

      </choose>

      <collectFieldsByKeyValuePair kvsep="=" sep=";" src="$_body" >

      <attrKeyMap attr="alertName" key="alert" />

      <attrKeyMap attr="threatCategory" key="reason" />

      <attrKeyMap attr="detectedIndicator" key="detected" />

      <attrKeyMap attr="srcAction" key="act" />

      <attrKeyMap attr="destIpAddr" key="dst" />

      <attrKeyMap attr="srcIpAddr" key="src" />

      <attrKeyMap attr="hashMD5" key="md5" />

      <attrKeyMap attr="hashSHA1" key="sha1" />

      <attrKeyMap attr="hashSHA2" key="sha2" />

      <attrKeyMap attr="uriQuery" key="request" />

      <attrKeyMap attr="dvcIpAddr" key="dvc" />

      <attrKeyMap attr="serviceName" key="sourceServiceName" />

      <attrKeyMap attr="user" key="suser" />

      <attrKeyMap attr="msg" key="msg" />

      <attrKeyMap attr="threatScore" key="kl_threat_score" />

      </collectFieldsByKeyValuePair>

      </parsingInstructions>

  5. Reformat]をクリックします。
  6. Validate]をクリックして、[Parser XML]フィールドの XML データを検証します。
  7. Test]をクリックします。

    入力したデータをテストするためのウィンドウが開きます。

  8. Test Event Parser]ウィンドウで、[Test]をクリックします。

    テスト結果のウィンドウにエラーメッセージが表示される場合:

    1. テクニカルアカウントマネージャー(TAM)に連絡して、[Test Event]フィールドの内容と[Parser XML]フィールドの内容を照合します。
    2. Back]をクリックし、[Test Event]フィールドと[Parser XML]フィールドに正しいデータを指定します。
    3. データを再度テストします。
  9. Back]をクリックします。
  10. Event Parser Definition]ウィンドウで、[Enabled]をオンにします。
  11. Save]をクリックします。
  12. Admin]→[Device Support]→[Parser]セクションで[Apply]をクリックし、表示されるメッセージボックスで[Yes]をクリックして変更に同意します。

Kaspersky CyberTrace から受信したイベントが FortiSIEM に正しく表示されるようになりました。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。