受信サービスイベントに関する通知の作成
受信サービスイベントに関する通知の作成
2024年4月11日
ID 196725
受信 Kaspersky CyberTrace サービスイベントに関する通知を作成するには、アラートルールを構成します。
RSA NetWitness で Kaspersky CyberTrace からのサービスイベントに関する通知を作成するには:
- [RSA NetWitness]メニューで、[Monitor]→[Reports]の順に選択し、[Manage]→[Rules]の順に選択します。
[Manage]→[Rules]フォーム
- [Groups]セクションで、[CyberTrace_Rules]を選択します。
CyberTrace ルール
- [Rules]セクションで、[Add]スプリットボタン()をクリックします。ドロップダウンリストで、[NetWitness Platform DB]を選択します。
[Build Rule]ウィンドウが表示されます。
- [Build Rule]ウィンドウで、次の設定を指定します:
- [Name]フィールドで、ルールの名前を指定します。
任意の名前を指定できます。
- イベントを集計する場合、[Summarize]フィールドで、[
None
]以外の値を指定します。 - [Select]フィールドで、通知で使用される値を含むフィールドを指定します。
サービスイベントでは、Kaspersky CyberTrace は[msg]および[action]フィールドを使用します。
- [where]フィールドで、通知条件を指定します。例:
device.type='cybertrace' && action contains 'KL_ALERT'
この条件には、Kaspersky CyberTrace サービスイベントがすべて含まれています。
- 必要に応じて、選択した残りのフィールドに入力します。
[Build Rule]ウィンドウ
- [Name]フィールドで、ルールの名前を指定します。
- [Test Rule]をクリックして、指定したルールの確認が正しく実行されていることを確認します。
[Test Rule]ウィンドウ
- [Save]をクリックして、ルールを保存します。
- [Use]をクリックして、表示されるウィンドウで[Alert]→[Select]の順に選択します。
[Use Rule]ウィンドウ
[Create/Modify Alert]ウィンドウが表示されます。
- [Create/Modify Alert]ウィンドウで、次の設定を指定します:
- [Data Source]フィールドで、Kaspersky CyberTrace イベントがあるイベントソースを選択します。
- [Description]フィールドで、アラートの説明を指定します。
任意の説明を指定できます。
- [Severity]フィールドで、アラートの重大度を指定します。
- [Notification]フィールドで、次の設定を指定します:
- RSA NetWitness がアラートに関する通知を送信する方法。
- アラートの本文。
[Create/Modify Alert]ウィンドウ
- [Create]をクリックして、ルールを保存します。
ルールが、[Manage]→[Alerts]タブの[Alert]リストに追加されます。
- 作成したルールに適合しているアラートをすべて閲覧するには、[View Alerts]()をクリックします。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。