AlienVault USM / OSSIM への設定情報ファイルのインポート
2024年4月11日
ID 183920
このセクションでは、Kaspersky CyberTrace をイベントソースとして扱うように AlienVault USM / OSSIM を構成する方法について説明します。この目的で AlienVault USM / OSSIM を構成するには、AlienVault USM / OSSIM が実行されているコンピューター上で必ず次の手順を実行してください。
Kaspersky CyberTrace からイベントを受信するように AlienVault USM / OSSIM を構成するには:
- 次の設定情報ファイルをターゲットディレクトリにコピーします:
- kaspersky_cyberTrace.cfg を
/etc/ossim/agent/plugins/
ディレクトリにコピーします。 - kaspersky_cyberTrace.sql を
/usr/share/doc/ossim-mysql/contrib/plugins/
ディレクトリにコピーします。
kaspersky_cyberTrace.cfg ファイルと kaspersky_cyberTrace.sql ファイルは、このヘルプドキュメントと一緒に配布されるか、テクニカルアカウントマネージャー(TAM)から提供されます。
- kaspersky_cyberTrace.cfg を
/etc/ossim/agent/config.cfg
ファイルのplugins
セクションに次の行を追加します:kaspersky_cyberTrace =/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg
- 次のルールを
/etc/rsyslog.conf
ファイルに追加します:if ($fromhost-ip == '%CyberTrace_IP_OUT%') then -/var/log/kaspersky_cyberTrace.log
ここで、
%CyberTrace_IP_OUT%
は、Kaspersky CyberTrace がイベントを送信するコンピューターの IP アドレスです。この行は、Kaspersky CyberTrace にイベントを転送するように AlienVault USM / OSSIM を構成する時に追加されるルールの前に追加することを推奨します。
- 次のコマンドを実行します:
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
このコマンドにより、Kaspersky CyberTrace に関する情報が AlienVault データベースに追加されます。
- 次のコマンドを実行します:
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart
このコマンドを使用すると、AlienVault USM / OSSIM に、kaspersky_cyberTrace.cfg 設定情報ファイルで指定された設定が適用されます。このファイルには、AlienVault USM / OSSIM が Kaspersky CyberTrace からのイベントを解析するために使用するルールが含まれています。
- 次のコマンドを実行して、rsyslog サービスを再起動します:
/etc/init.d/rsyslog restart
- AlienVault USM / OSSIM が実行されているコンピューター上で Kaspersky CyberTrace イベントをアーカイブするように
logrotate
ユーティリティを構成します:/etc/logrotate.d
ディレクトリにkaspersky_cybertrace
ファイルを作成します。kaspersky_cybertrace
ファイルで、次の行を指定します:/var/log/kaspersky_cyberTrace.log
{
# save 3 months of logs
rotate 3
monthly
missingok
notifempty
compress
delaycompress
sharedscripts
# run a script after log rotation
postrotate
invoke-rc.d rsyslog rotate > /dev/null
endscript
}
kaspersky_cybertrace
ファイルを保存して閉じます。
別の期間のログを保存する場合は、logrotate のドキュメントを参照して
kaspersky_cybertrace
ファイルを構成してください。
この手順を実行すると、Kaspersky CyberTrace デバイスが AlienVault USM / OSSIM に追加されます。
rsyslog サービスにより、Kaspersky CyberTrace からのイベントが /var/log/kaspersky_cyberTrace.log
ファイルに保存されます。
Kaspersky CyberTrace と AlienVault USM / OSSIM を構成したら、検証テストを実行します。このために、ログスキャナーユーティリティ(Kaspersky CyberTrace の一部)を使用して、検証テストイベントを Kaspersky CyberTrace に送信します。検証テストイベントは、verification/kl_verification_test.txt
ファイルに含まれています。AlienVault USM / OSSIM Web インターフェイスで検証テストの結果を確認します。
既定では、各 Kaspersky Threat Data Feed のそれぞれの検知イベントは、AlienVault で独自のタイプを持ちます。他の検知イベントは、event name
フィールドに Kaspersky CyberTrace - Detection event
の値を持ちます。
カテゴリに従って検知イベントを分類するために、インポートされたフィードの検知イベントの名前を変更できます。
インポートされたフィードの検知イベントの名前を変更するには:
/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg
設定情報ファイルのtranslation
セクションに次の行を追加します:%CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%=%ANY_FREE_NUMERIC_VALUE%
ここで、
%CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%
は、kl_feed_service.conf
からインポートされたフィードのカテゴリ属性の値です。例:Custom_Feed=50
。- ファイルを保存して閉じます。
/usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql
ファイルの最後の行の前に次の行を追加します:(23021992, %NUMERIC_VALUE_SPECIFIED_AT_THE_kaspersky_cyberTrace.cfg%, 15, 71, NULL, 'Kaspersky CyberTrace - %NAME_TO_REPLACE%', 5, 8),
- ファイルを保存して閉じます。
- 次のコマンドを実行します:
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart