ステップ 8(オプション):受信サービスイベントに関する通知の作成
ステップ 8(オプション):受信サービスイベントに関する通知の作成
2024年4月11日
ID 196829
Kaspersky CyberTrace で問題に関する通知を作成するには、アラートルールを構成します。
QRadar で Kaspersky CyberTrace からのサービスイベントに関する通知を作成するには:
- QRadar Console を実行します。
- [Offenses]、[Log Activity]または[Network Activity]タブのいずれかを選択して、[Rules]を選択します。
- [Actions]ドロップダウンリストで、[New Event Rule]を選択します。
![QRadar の[Rules]ページ。[New Event Rule]メニュー項目。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/new_event_rule_qradar.png)
[Rules]ページ
[Rule Wizard]ページが表示されます。
- [Rule Wizard]ページで、[Next]をクリックして生成するルールのソースを選択します。
![QRadar の[Rule Wizard]。ソースを選択します。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/selecting_the_source.png)
[Rules Wizard]ウィンドウ
- [Events]を選択して、[Next]をクリックします。
- [Rule Test Stack Editor]ページで、次の操作を実行します:
- 新しいルールで次のテスト条件を追加します。
when the event(s) were detected by one or more of these log sources(イベントがこれらのログソースの 1 つ以上で検知された時)when the event matches this search filter(イベントがこの検索フィルターに一致している時)
- 指定した条件ごとに、論理
and演算子を設定します。 - [
when the event(s) were detected by one or more of these log sources]条件では、KL_Threat_Feed_Service_v2 に等しい[Log Source]を指定します。このイベントソースが存在しない場合、ログソースとして Kaspersky CyberTrace サービスを追加します。 - [
when the event matches this search filter]条件では、次の操作を実行することにより、[Event Name]とイベントソース名の値を比較するためのフィルターを指定します。- イベントフィールドのリストで、[Event Name]を選択します。
- 条件のリストで、[Equals]を選択します。
- [Browse]をクリックして、ルールを作成するサービスイベントの名前を選択します。
![QRadar の[Rule Wizard]。フィルターを追加します。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/adding_a_filter.png)
フィルターの追加
- [Add+]→[Submit]の順にクリックします。
必要なイベントが存在しない場合、QRadar 識別子(QID)リストに追加します。
- ルールの名前を入力して、このルールを受信イベントに適用する方法を選択します([Local]または[Global])。[Local]および[Global]ルールの詳細は、IBM ドキュメントを参照してください。
- ルールに必要なグループを選択します。
- ルールの説明を追加します。
![QRadar の[Rule Wizard]。[Rule Editor]。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/rule_editor.png)
[Rule Editor]ウィンドウ
- [Next]をクリックします。
- 新しいルールで次のテスト条件を追加します。
- [Rule Response]ページで、次の操作を実行します:
- [Notify]を選択します。
- 必要に応じて、[Response Limiter]セクションでルールトリガーの制限を指定します。
- [Enable Rule]セクションをオンにします。
![QRadar の[Rule Wizard]。[Rule Response]。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/rule_editor2.png)
[Rule Editor]ページ
- [Next]をクリックします
- [Rule Summary]ページで、すべての設定が正しく指定されていることを確認して、[Finish]をクリックします。
![QRadar の[Rule Wizard]。[Rule Summary]。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/rule_summary.png)
[Rule Summary]ページ
ルールが[Rules]リストに追加されます。
![QRadar の[Rules]リスト。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/rules_list.png)
[Rules]リスト
追加されたルールにより、受信サービスイベントに関する通知が生成されます。これらの通知を閲覧するには、[Messages]ドロップダウンリストをクリックします。また通知は、QRadar Console にポップアップ通知として表示されます。
![QRadar の[Messages]リスト。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/messages_list.png)
[Messages]ドロップダウンリスト
[Dashboard]タブで、通知の表示を構成できます。
![QRadar の[System Notifications]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/sys_notifications.png)
[Dashboard]タブのシステム通知
[Dashboard]タブで、通知の表示を構成するには:
- [Dashboard]タブを選択します。
- [Add Item]ドロップダウンリストで、[System Notifications]を選択します。
[Dashboard]タブでのシステム通知の追加
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。