受信サービスイベントに関する通知の作成

受信 Kaspersky CyberTrace サービスイベントに関する通知を作成するには、アラートルールを構成します。

RSA NetWitness で Kaspersky CyberTrace からのサービスイベントに関する通知を作成するには：

1. ［RSA NetWitness］メニューで、［Monitor］→［Reports］の順に選択し、［Manage］→［Rules］の順に選択します。

   

   ［Manage］→［Rules］フォーム

2. ［Groups］セクションで、［CyberTrace_Rules］を選択します。

   

   CyberTrace ルール

3. ［Rules］セクションで、［Add］スプリットボタン（）をクリックします。ドロップダウンリストで、［NetWitness Platform DB］を選択します。

   ［Build Rule］ウィンドウが表示されます。

4. ［Build Rule］ウィンドウで、次の設定を指定します：
   • ［Name］フィールドで、ルールの名前を指定します。

     任意の名前を指定できます。

   • イベントを集計する場合、［Summarize］フィールドで、［None］以外の値を指定します。
   • ［Select］フィールドで、通知で使用される値を含むフィールドを指定します。

     サービスイベントでは、Kaspersky CyberTrace は［msg］および［action］フィールドを使用します。

   • ［where］フィールドで、通知条件を指定します。例：

     device.type='cybertrace' && action contains 'KL_ALERT'

     この条件には、Kaspersky CyberTrace サービスイベントがすべて含まれています。

   • 必要に応じて、選択した残りのフィールドに入力します。

   

   ［Build Rule］ウィンドウ

5. ［Test Rule］をクリックして、指定したルールの確認が正しく実行されていることを確認します。

   

   ［Test Rule］ウィンドウ

6. ［Save］をクリックして、ルールを保存します。
7. ［Use］をクリックして、表示されるウィンドウで［Alert］→［Select］の順に選択します。

   

   ［Use Rule］ウィンドウ

   ［Create/Modify Alert］ウィンドウが表示されます。

8. ［Create/Modify Alert］ウィンドウで、次の設定を指定します：
   • ［Data Source］フィールドで、Kaspersky CyberTrace イベントがあるイベントソースを選択します。
   • ［Description］フィールドで、アラートの説明を指定します。

     任意の説明を指定できます。

   • ［Severity］フィールドで、アラートの重大度を指定します。
   • ［Notification］フィールドで、次の設定を指定します：
     • RSA NetWitness がアラートに関する通知を送信する方法。
     • アラートの本文。

   

   ［Create/Modify Alert］ウィンドウ

9. ［Create］をクリックして、ルールを保存します。

   ルールが、［Manage］→［Alerts］タブの［Alert］リストに追加されます。

10. 作成したルールに適合しているアラートをすべて閲覧するには、［View Alerts］（）をクリックします。