ステップ 3(オプション):Kaspersky CyberTrace イベントの追加
2024年4月11日
ID 183785
このセクションでは、LogRhythm に Kaspersky CyberTrace イベントを手動で追加する方法について説明します。
Kaspersky CyberTrace ルールおよびイベントのインポートが成功した場合、このステップはスキップしてください。
LogRhythm に Kaspersky CyberTrace イベントを追加するには:
- LogRhythm Console を実行します。
- [Deployment Manager]→[Tools]→[Knowledge]→[Common Event Manager]の順に選択します。
[Common Event Manager]メニュー項目
[Common Event Manager]ウィンドウが表示されます。
- 下の表で指定されているイベントを追加します。製品版および OSINT feeds のすべてを使用するとは限らない場合、イベントの一部は必要ない場合があります。
「Security : Compromise」
分類のイベント
イベント
Description
KL_APT_Hash_MD5
APT キャンペーンで使用されている悪意のあるファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_APT_Hash_SHA1
APT キャンペーンで使用されている悪意のあるファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_APT_Hash_SHA256
APT キャンペーンで使用されている悪意のあるファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_APT_IP
APT キャンペーンで使用されている IP アドレスは、Kaspersky CyberTrace で検知されます。
KL_APT_URL
APT キャンペーンで使用されている URL は、Kaspersky CyberTrace で検知されます。
KL_BotnetCnC_Hash_MD5
ボットネットハッシュは、Kaspersky CyberTrace で検知されます。
KL_BotnetCnC_Hash_SHA1
ボットネットハッシュは、Kaspersky CyberTrace で検知されます。
KL_BotnetCnC_Hash_SHA256
ボットネットハッシュは、Kaspersky CyberTrace で検知されます。
KL_BotnetCnC_URL
ボットネット C&C URL は、Kaspersky CyberTrace で検知されます。
KL_ICS_Hash_MD5
ICS ハッシュは、Kaspersky CyberTrace で検知されます。
KL_ICS_Hash_SHA1
ICS ハッシュは、Kaspersky CyberTrace で検知されます。
KL_ICS_Hash_SHA256
ICS ハッシュは、Kaspersky CyberTrace で検知されます。
KL_InternalTI_URL
Kaspersky CyberTrace の InternalTI リストの URL。
KL_InternalTI_IP
Kaspersky CyberTrace の InternalTI リストの IP。
KL_InternalTI_Hash_MD5
Kaspersky CyberTrace の InternalTI リストのハッシュ。
KL_InternalTI_Hash_SHA1
Kaspersky CyberTrace の InternalTI リストのハッシュ。
KL_InternalTI_Hash_SHA256
Kaspersky CyberTrace の InternalTI リストのハッシュ。
KL_IoT_Hash_MD5
IoT のハッシュは、Kaspersky CyberTrace で検知されます。
KL_IoT_Hash_SHA1
IoT のハッシュは、Kaspersky CyberTrace で検知されます。
KL_IoT_Hash_SHA256
IoT のハッシュは、Kaspersky CyberTrace で検知されます。
KL_IoT_URL
Internet of Things (IoT)対応デバイスに感染する URL は、Kaspersky CyberTrace で検知されます。
KL_IP_Reputation
悪意のある IP アドレスは、Kaspersky CyberTrace で検知されます。
KL_IP_Reputation_Hash_MD5
悪意のある IP アドレスでホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_IP_Reputation_Hash_SHA1
悪意のある IP アドレスでホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_IP_Reputation_Hash_SHA256
悪意のある IP アドレスでホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_URL
悪意のある URL は、Kaspersky CyberTrace で検知されます。
KL_Malicious_URL_Hash_MD5
悪意のある URL でホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_URL_Hash_SHA1
悪意のある URL でホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_URL_Hash_SHA256
悪意のある URL でホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_Hash_MD5
悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_Hash_SHA1
悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_Hash_SHA256
悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_Malicious_Hash_MD5
モバイルの悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_Malicious_Hash_SHA1
モバイルの悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_Malicious_Hash_SHA256
モバイルの悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_BotnetCnC_Hash_MD5
モバイルのボットネット C&C ハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_BotnetCnC_Hash_SHA1
モバイルのボットネット C&C ハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_BotnetCnC_Hash_SHA256
モバイルのボットネット C&C ハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_BotnetCnC_URL
モバイルのボットネット C&C URL は、Kaspersky CyberTrace で検知されます。
KL_Phishing_URL
フィッシング URL は、Kaspersky CyberTrace で検知されます。
KL_Ransomware_URL
ランサムウェアをホストする URL は、Kaspersky CyberTrace で検知されます。
KL_Ransomware_URL_Hash_MD5
ランサムウェアのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Ransomware_URL_Hash_SHA1
ランサムウェアのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Ransomware_URL_Hash_SHA256
ランサムウェアのハッシュは、Kaspersky CyberTrace で検知されます。
AbuseCh_Feodo_Block_IP
Abuse.Ch_Feodo_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
AbuseCh_Ransomware_Block_URL
Abuse.Ch_Ransomware_Block_URL フィードからの URL は、Kaspersky CyberTrace で検知されます。
AbuseCh_Ransomware_Block_Domain
Abuse.Ch_Ransomware_Block_Domain フィードからのドメインは、Kaspersky CyberTrace で検知されます。
AbuseCh_Ransomware_Block_IP
Abuse.Ch_Ransomware_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
AbuseCh_Ransomware_Common_URL
Abuse.Ch_Ransomware_Common_URL フィードからの URL は、Kaspersky CyberTrace で検知されます。
AbuseCh_SSL_Certificate_Block_IP
AbuseCh_SSL_Certificate_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
AbuseCh_SSL_Certificate_Hash_SHA1
AbuseCh_SSL_Certificate_Hash_SHA1 フィードからのハッシュは、Kaspersky CyberTrace で検知されます。
BlocklistDe_Block_IP
BlocklistDe_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
CyberCrime_Tracker_Block_Url
CyberCrime_Tracker_Block_Url フィードからの URL は、Kaspersky CyberTrace で検知されます。
EmergingThreats_Block_IP
EmergingThreats_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
EmergingThreats_Compromised_IP
EmergingThreats_Compromised_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
- アラートイベント:
イベント
Description
分類
KL_ALERT_ConfigurationUpdated
このイベントは、Kaspersky CyberTrace サービスによって設定情報ファイルが再読み込みされた時に生成されます。
Audit : Configuration
KL_ALERT_FeedBecameAvailable
このイベントは、現在の証明書と一緒に使用できるフィードが使用可能になった時に生成されます。
Audit : Other Audit Success
KL_ALERT_FeedBecameUnavailable
このイベントは、現在の証明書と一緒に使用されるフィードが使用できなくなった時に生成されます。
Audit : Other Audit Failure
KL_ALERT_OutdatedFeed
このイベントは、指定した期間中にフィードが更新されなかった時に生成されます。
Audit : Other Audit Failure
KL_ALERT_ServiceUnavailable
このイベントは、Kaspersky CyberTrace サービスがクラッシュまたはフリーズした場合に生成されます。
Audit : Other Audit Failure
KL_ALERT_ServiceStopped
このイベントは、Kaspersky CyberTrace サービスが正常に停止した時に生成されます。
Audit : Startup and Shutdown
KL_ALERT_ServiceStarted
このイベントは、Kaspersky CyberTrace サービスが正常に開始された時に生成されます。
Audit : Startup and Shutdown
KL_ALERT_UpdatedFeed
このイベントは、フィードが Kaspersky CyberTrace サービスによって更新および読み込まれた時に生成されます。
Audit : Other Audit Success
KL_ALERT_FailedToUpdateFeed
このイベントは、Kaspersky CyberTrace サービスが新しいフィードの読み込みに失敗し(たとえば、ライセンスによって課されるインジケーターの数に関する制限のため)、古いフィードを使用し続ける時に生成されます。
Audit : Other Audit Failure
KL_ALERT_LicenseExpires
このイベントは、使用中のライセンスの期限が 30 日以内に切れることを通知するために生成されます。
Audit : Policy
KL_ALERT_LicenseExpired
このイベントは、ライセンスの期限が切れた時に生成されます。
Audit : Policy
KL_ALERT_EPSLimitExceeded
このイベントは、ライセンスまたはライセンスレベルによって課される、処理されたイベント/秒(EPS)の数の制限を超えた時に生成されます。
Audit : Policy
KL_ALERT_EPSHardLimit
このイベントは、Kaspersky CyberTrace サービスにより、処理されるイベント/秒(EPS)の数が現在のライセンスまたはライセンスレベルのイベントの最大数に制限される時に生成されます。この制限は、受信イベントの数にかかわらず適用されます。
Audit : Policy
KL_ALERT_LicenseChanged
このイベントは、Kaspersky CyberTrace が別のライセンスまたはライセンスレベルを使用し始めた時に生成されます。
Audit : Configuration
KL_ALERT_RetroScanError
このイベントは、レトロスキャンタスクが失敗した時に生成されます。
Audit : Other Audit Failure
KL_ALERT_RetroScanCompleted
このイベントは、レトロスキャンタスクが成功した時に生成されます。
Audit : Other Audit Success
KL_ALERT_RetroScanStorageExceeded
このイベントは、保存されているイベントのサイズの制限を超えた時に生成されます。
Audit : Policy
KL_ALERT_IndicatorsStoreLimitExceeded
このイベントは、保存されているインジケーターのサイズの制限を超えた時に生成されます。
Audit : Policy
KL_ALERT_IndicatorsStoreHardLimit
このイベントは、Kaspersky CyberTrace がインジケーターの追加および更新を制限している時に生成されます。
Audit : Policy
KL_ALERT_FreeSpaceEnds
このイベントは、使用可能なディスクスペースが少なくなった時に生成されます。
Audit : Policy
Kaspersky CyberTrace のアラートイベントに関するセクションで説明したように、アラートイベントには背景情報フィールドが含まれている場合があります。
[Common Event Properties]ウィンドウ
イベントが追加された後、[Common Event Manager]ウィンドウには、下の図で示すようにイベントが含まれている必要があります。
追加されたイベント