McAfee Enterprise Security Manager での Kaspersky CyberTrace 検知イベントの解析
2024年4月11日
ID 183378
このセクションでは、次の形式の Kaspersky CyberTrace 検知イベントを解析する方法について説明します:
Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%
Kaspersky CyberTrace 検知イベントの形式を変更する場合は、McAfee Enterprise Security Manager で Kaspersky CyberTrace パーサールールを変更する必要があることに注意してください。
検知イベントを解析するには、[Advanced Syslog Parser Rule]ダイアログボックスに次のデータを入力します:
- [General]タブで、次のデータを入力します:
- Name:
Kaspersky_CyberTrace_DetectionEvent
- Tags:ルールを定義するタグ(つまり、イベントのフィルタリング中に使用されるタグ)を選択します。
- Rule Assignment Type:User Defined 1
- Description:The Kaspersky CyberTrace detection event
- Name:
- [Parsing]タブで、次のデータを入力します:
- Provide content strings:Kaspersky CyberTrace Detection Event
- Sample Log Data:URL 検知イベントの例を指定します。例:
Kaspersky CyberTrace Detection Event| date=Oct 12 16:13:23 reason=KL_BotnetCnC_URL detected=http://fakess123bn.nu act=REQUEST_URL dst=192.168.1.0 src=192.168.2.0 hash=776735A8CA96DB15B422879DA599F474 request=http://fakess123bn.nu dvc=192.168.3.0 sourceServiceName=FireWall suser=UserName msg:popularity=5 geo=vn, in, mx threat=Trojan.Win32.Waldek
- イベントを解析するための次の正規表現を追加します:
Name
Regular Expression
ct_date
date\=(\S+\s\d+\s\S+)
ct_reason
reason\=(.*)\sdetected
ct_indicator
detected\=(.*)\sact
ct_dev_action
act\=(.*)\sdst
ct_dst
dst\=(\S+)
ct_src
src\=(\S+)
ct_hash
hash\=(\S+)
ct_request
request\=(.*)\sdvc
ct_dev_ip
dvc\=(\S+)
ct_serviceName
sourceServiceName\=(.*)\ssuser
ct_username
suser\=(.*?)\smsg
ct_context
msg\:(.*)$
- [Field Assignment]タブで、次のデータを入力します:
Field
Expression
Action
"0"
First Time
[
ct_date
]をこのフィールドにドラッグしますURL
[
ct_request
]をこのフィールドにドラッグしますDestination IP
[
ct_dst
]をこのフィールドにドラッグしますDevice_Action
[
ct_dev_action
]をこのフィールドにドラッグしますHash
[
ct_hash
]をこのフィールドにドラッグしますHost
[
ct_dev_ip
]をこのフィールドにドラッグしますMessage_Text
[
ct_context
]をこのフィールドにドラッグしますObject
[
ct_indicator
]をこのフィールドにドラッグしますReturn_Code
[
ct_reason
]をこのフィールドにドラッグしますService_Name
[
ct_serviceName
]をこのフィールドにドラッグしますSeverity
"80"
Source IP
[
ct_src
]をこのフィールドにドラッグしますSource User
[
ct_username
]をこのフィールドにドラッグしますMcAfee ESM では、[
Object
]フィールドが[ObjectID
]に名前変更されます。- [Mapping]タブで、次のデータを入力します:
- 時間データテーブルでは、次のデータを使用します:
Time Format
Time Fields
%b %d %H:%M:%S
First time
- アクションテーブルでは、次のデータを使用します:
Action Key
Action Value
0
Success
- 重大度テーブルでは、次のデータを使用します:
Severity Key
Severity Value
80
80
上記の値を指定した後で、次の操作を実行します:
- [Default Policy]リストで、
Kaspersky CyberTrace
デバイスを選択し、Kaspersky_CyberTrace_DetectionEvent
ルールを有効にします。 - [File]→[Save]の順に選択して現在の状態を保存します。
- [Operations]→[Rollout]の順に選択して、ポリシーをロールアウトします。
Kaspersky CyberTrace
デバイスを再初期化します。- [Operations]→[Modify Aggregation Settings]の順に選択して、Kaspersky CyberTrace サービスイベントの集約ルールを変更します。
[Modify Aggregation Settings]ダイアログボックスが表示されます。
- 次の値を指定します:
- [
Field 2
]を[Object
]に設定します。 - [
Field 3
]を[Return_Code
]に設定します。
- [
- [OK]をクリックします。
- ロールアウトのリクエストを確定します。