McAfee Enterprise Security Manager での Kaspersky CyberTrace 検知イベントの解析

このセクションでは、次の形式の Kaspersky CyberTrace 検知イベントを解析する方法について説明します：

Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%

Kaspersky CyberTrace 検知イベントの形式を変更する場合は、McAfee Enterprise Security Manager で Kaspersky CyberTrace パーサールールを変更する必要があることに注意してください。

検知イベントを解析するには、［Advanced Syslog Parser Rule］ダイアログボックスに次のデータを入力します：

• ［General］タブで、次のデータを入力します：
  • Name：Kaspersky_CyberTrace_DetectionEvent
  • Tags：ルールを定義するタグ（つまり、イベントのフィルタリング中に使用されるタグ）を選択します。
  • Rule Assignment Type：User Defined 1
  • Description：The Kaspersky CyberTrace detection event
• ［Parsing］タブで、次のデータを入力します：
  • Provide content strings：Kaspersky CyberTrace Detection Event
  • Sample Log Data：URL 検知イベントの例を指定します。例：

    Kaspersky CyberTrace Detection Event| date=Oct 12 16:13:23 reason=KL_BotnetCnC_URL detected=http://fakess123bn.nu act=REQUEST_URL dst=192.168.1.0 src=192.168.2.0 hash=776735A8CA96DB15B422879DA599F474 request=http://fakess123bn.nu dvc=192.168.3.0 sourceServiceName=FireWall suser=UserName msg:popularity=5 geo=vn, in, mx threat=Trojan.Win32.Waldek

  • イベントを解析するための次の正規表現を追加します：

  Name	Regular Expression
  ct_date	date\=(\S+\s\d+\s\S+)
  ct_reason	reason\=(.*)\sdetected
  ct_indicator	detected\=(.*)\sact
  ct_dev_action	act\=(.*)\sdst
  ct_dst	dst\=(\S+)
  ct_src	src\=(\S+)
  ct_hash	hash\=(\S+)
  ct_request	request\=(.*)\sdvc
  ct_dev_ip	dvc\=(\S+)
  ct_serviceName	sourceServiceName\=(.*)\ssuser
  ct_username	suser\=(.*?)\smsg
  ct_context	msg\:(.*)$

  • ［Field Assignment］タブで、次のデータを入力します：

  Field	Expression
  Action	"0"
  First Time	［ct_date］をこのフィールドにドラッグします
  URL	［ct_request］をこのフィールドにドラッグします
  Destination IP	［ct_dst］をこのフィールドにドラッグします
  Device_Action	［ct_dev_action］をこのフィールドにドラッグします
  Hash	［ct_hash］をこのフィールドにドラッグします
  Host	［ct_dev_ip］をこのフィールドにドラッグします
  Message_Text	［ct_context］をこのフィールドにドラッグします
  Object	［ct_indicator］をこのフィールドにドラッグします
  Return_Code	［ct_reason］をこのフィールドにドラッグします
  Service_Name	［ct_serviceName］をこのフィールドにドラッグします
  Severity	"80"
  Source IP	［ct_src］をこのフィールドにドラッグします
  Source User	［ct_username］をこのフィールドにドラッグします

  McAfee ESM では、［Object］フィールドが［ObjectID］に名前変更されます。

  • ［Mapping］タブで、次のデータを入力します：
    • 時間データテーブルでは、次のデータを使用します：

  Time Format	Time Fields
  %b %d %H:%M:%S	First time

  • アクションテーブルでは、次のデータを使用します：

  Action Key	Action Value
  0	Success

  • 重大度テーブルでは、次のデータを使用します：

  Severity Key	Severity Value
  80	80

上記の値を指定した後で、次の操作を実行します：

1. ［Default Policy］リストで、 Kaspersky CyberTrace デバイスを選択し、Kaspersky_CyberTrace_DetectionEvent ルールを有効にします。
2. ［File］→［Save］の順に選択して現在の状態を保存します。
3. ［Operations］→［Rollout］の順に選択して、ポリシーをロールアウトします。
4. Kaspersky CyberTrace デバイスを再初期化します。
5. ［Operations］→［Modify Aggregation Settings］の順に選択して、Kaspersky CyberTrace サービスイベントの集約ルールを変更します。

   ［Modify Aggregation Settings］ダイアログボックスが表示されます。

6. 次の値を指定します：
   • ［Field 2］を［Object］に設定します。
   • ［Field 3］を［Return_Code］に設定します。
7. ［OK］をクリックします。
8. ロールアウトのリクエストを確定します。