サポート

法人向けアプリケーション

Kaspersky CyberTrace

インストールおよび連携ガイド

パート 2:Kaspersky CyberTrace とイベントソースの連携

McAfee Enterprise Security Manager との連携

McAfee Enterprise Security Manager と連携するための Kaspersky CyberTrace の構成
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

McAfee Enterprise Security Manager と連携するための Kaspersky CyberTrace の構成

2024年4月11日

ID 183459

このセクションでは、McAfee ESM と連携するように Kaspersky CyberTrace を構成する方法について説明します。

Kaspersky CyberTrace を McAfee ESM と連携するように構成するには:

  1. https://support.kaspersky.com/datafeeds/download/15920 から Kaspersky CyberTrace をダウンロードします。
  2. Kaspersky CyberTrace をインストールします
  3. Kaspersky CyberTrace Web UI に初めてログインすると、初期セットアップウィザードウィンドウが開きます。次の設定を行います:
    1. [SIEM]フィールドで[Other]を選択し、[Next]をクリックします。
    2. 表示される[Connection Settings]ウィンドウで、次のように指定します:
      • Kaspersky CyberTrace が受信イベントをリッスンする IP アドレスとポート
      • Kaspersky CyberTrace が検知イベントとアラートイベントを送信する McAfee ESM の IP アドレスとポート

        McAfee ESM の場​​合、ポートは 514 です。

      Next]をクリックします。

    3. 必要に応じて、[Proxy Settings]ウィンドウでプロキシサーバーの接続パラメータを指定します。
    4. 必要に応じて、初期セットアップの残りのステップを実行します。
  4. Settings]→[Matching]タブで、[Edit default rules]をクリックし、[Regular expressions]タブを選択して、次の正規表現を指定します

    McAfee ESM と連携するための正規表現

    インジケータータイプ

    ルール名

    Regular expression

    追加オプション

    CONTEXT

    Device

    deviceExternalId\=(.*?)\s

     

    CONTEXT

    DeviceAction

    act\=(.*?)\s

     

    CONTEXT

    DeviceIp

    deviceTranslatedAddress\=(.*?)\s

     

    HASH

    RE_HASH

    ([\da-fA-F]{32,64})

    Extract all:オン

    IP

    RE_IP

    dst\=(.*?)\s

     

    URL

    RE_URL

    (?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]{2,}+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)

    Extract all:オン

    IP

    SRC_IP

    src\=(.*?)\s

     

    CONTEXT

    UserName

    duser\=(.*?)\s

     
  5. Normalization rules]タブで、次の置換ルールを指定します:

    McAfee と連携するための Cyber​​Trace の置換ルール。

    McAfee ESM と連携するための置換ルール

  6. 変更を保存します。
  7. Settings]→[Events format]の順に選択し、次の形式を指定します

    McAfee ESM と連携するためのイベント形式

    Field

    アラートイベント形式

    Kaspersky CyberTrace Service Event| date=%Date% alert=%Alert% msg:%RecordContext%

    検知イベント形式

    Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%

    Records context format

    %ParamName%=%ParamValue%

    %ParamName% の前のスペースに注意してください。

    Actionable fields context format

    %ParamName%:%ParamValue%

    %ParamName% の前のスペースに注意してください。

    変更を保存します。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。