AlienVault USM / OSSIM への設定情報ファイルのインポート

このセクションでは、Kaspersky CyberTrace をイベントソースとして扱うように AlienVault USM / OSSIM を構成する方法について説明します。この目的で AlienVault USM / OSSIM を構成するには、AlienVault USM / OSSIM が実行されているコンピューター上で必ず次の手順を実行してください。

Kaspersky CyberTrace からイベントを受信するように AlienVault USM / OSSIM を構成するには：

1. 次の設定情報ファイルをターゲットディレクトリにコピーします：
   • kaspersky_cyberTrace.cfg を /etc/ossim/agent/plugins/ ディレクトリにコピーします。
   • kaspersky_cyberTrace.sql を /usr/share/doc/ossim-mysql/contrib/plugins/ ディレクトリにコピーします。

   kaspersky_cyberTrace.cfg ファイルと kaspersky_cyberTrace.sql ファイルは、このヘルプドキュメントと一緒に配布されるか、テクニカルアカウントマネージャー（TAM）から提供されます。

2. /etc/ossim/agent/config.cfg ファイルの plugins セクションに次の行を追加します：

   kaspersky_cyberTrace =/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg

3. 次のルールを /etc/rsyslog.conf ファイルに追加します：

   if ($fromhost-ip == '%CyberTrace_IP_OUT%') then -/var/log/kaspersky_cyberTrace.log

   ここで、%CyberTrace_IP_OUT% は、Kaspersky CyberTrace がイベントを送信するコンピューターの IP アドレスです。

   この行は、Kaspersky CyberTrace にイベントを転送するように AlienVault USM / OSSIM を構成する時に追加されるルールの前に追加することを推奨します。

4. 次のコマンドを実行します：

   cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db

   このコマンドにより、Kaspersky CyberTrace に関する情報が AlienVault データベースに追加されます。

5. 次のコマンドを実行します：

   /etc/init.d/ossim-agent restart

   /etc/init.d/ossim-server restart

   このコマンドを使用すると、AlienVault USM / OSSIM に、kaspersky_cyberTrace.cfg 設定情報ファイルで指定された設定が適用されます。このファイルには、AlienVault USM / OSSIM が Kaspersky CyberTrace からのイベントを解析するために使用するルールが含まれています。

6. 次のコマンドを実行して、rsyslog サービスを再起動します：

   /etc/init.d/rsyslog restart

7. AlienVault USM / OSSIM が実行されているコンピューター上で Kaspersky CyberTrace イベントをアーカイブするように logrotate ユーティリティを構成します：
   1. /etc/logrotate.d ディレクトリに kaspersky_cybertrace ファイルを作成します。
   2. kaspersky_cybertrace ファイルで、次の行を指定します：

      /var/log/kaspersky_cyberTrace.log

      {

      # save 3 months of logs

      rotate 3

      monthly

      missingok

      notifempty

      compress

      delaycompress

      sharedscripts

      # run a script after log rotation

      postrotate

      invoke-rc.d rsyslog rotate > /dev/null

      endscript

      }

   3. kaspersky_cybertrace ファイルを保存して閉じます。

   別の期間のログを保存する場合は、logrotate のドキュメントを参照して kaspersky_cybertrace ファイルを構成してください。

この手順を実行すると、Kaspersky CyberTrace デバイスが AlienVault USM / OSSIM に追加されます。

rsyslog サービスにより、Kaspersky CyberTrace からのイベントが /var/log/kaspersky_cyberTrace.log ファイルに保存されます。

Kaspersky CyberTrace と AlienVault USM / OSSIM を構成したら、検証テストを実行します。このために、ログスキャナーユーティリティ（Kaspersky CyberTrace の一部）を使用して、検証テストイベントを Kaspersky CyberTrace に送信します。検証テストイベントは、verification/kl_verification_test.txt ファイルに含まれています。AlienVault USM / OSSIM Web インターフェイスで検証テストの結果を確認します。

既定では、各 Kaspersky Threat Data Feed のそれぞれの検知イベントは、AlienVault で独自のタイプを持ちます。他の検知イベントは、event name フィールドに Kaspersky CyberTrace - Detection event の値を持ちます。

カテゴリに従って検知イベントを分類するために、インポートされたフィードの検知イベントの名前を変更できます。

インポートされたフィードの検知イベントの名前を変更するには：

1. /etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg 設定情報ファイルの translation セクションに次の行を追加します：

   %CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%=%ANY_FREE_NUMERIC_VALUE%

   ここで、%CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED% は、kl_feed_service.conf からインポートされたフィードのカテゴリ属性の値です。例：Custom_Feed=50。

2. ファイルを保存して閉じます。
3. /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql ファイルの最後の行の前に次の行を追加します：

   (23021992, %NUMERIC_VALUE_SPECIFIED_AT_THE_kaspersky_cyberTrace.cfg%, 15, 71, NULL, 'Kaspersky CyberTrace - %NAME_TO_REPLACE%', 5, 8),

4. ファイルを保存して閉じます。
5. 次のコマンドを実行します：

   cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db

   /etc/init.d/ossim-agent restart

   /etc/init.d/ossim-server restart