ステップ 9(オプション):受信 Kaspersky CyberTrace サービスイベントに関するアラートの作成
ステップ 9(オプション):受信 Kaspersky CyberTrace サービスイベントに関するアラートの作成
2024年4月11日
ID 196831
受信 Kaspersky CyberTrace サービスイベントに関する通知を作成するには、アラートルールを構成します。
LogRhythm で、Kaspersky CyberTrace からのサービスイベントに関する通知を作成するには:
- LogRhythm Console を実行します。
- [Deployment Manager]→[Alarm Rules]の順に選択して、[New]をクリックします。
- [Create Global Rule]確認ウィンドウで、[Global Admin]ロールを持つすべてのユーザーでこのルールを管理するためのアクセスを指定する場合は[Yes]をクリックします。このルールを自身のみで管理する場合は[No]をクリックします。
- ページの下部の各タブで次の操作を実行します:
- [Primary Criteria]タブで、次を実行します:
- [New]をクリックし、[Add New Field Filter]ドロップダウンリストで[Common Event]値を選択します。
![LogRhythm の[Alarm Rule]ウィンドウ。[Primary Criteria Filters]。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/primary_criteria.png)
![LogRhythm の[Log Message Filter]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/log_message_filter.png)
- [Edit values]をクリックします。
[Field Filter Values]ウィンドウが表示されます。
- [Field Filter Values]ウィンドウで、[Add Item]をクリックします。
- リストから Kaspersky CyberTrace サービスイベントの名前を選択します。このイベントが存在しない場合、「Kaspersky CyberTrace イベントの追加」セクションの説明に従って追加します。
![LogRhythm の[Field Filter Values]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/field_filter_values.png)
- [OK]をクリックします。
- [New]をクリックし、[Add New Field Filter]ドロップダウンリストで[Common Event]値を選択します。
- [Include Filters][Exclude Filters]および[Day and Time Criteria]タブは変更せずに残します。
- [Log Source Criteria]タブで、[Include the Selected Log Sources]をオンにして[Add]をクリックします。
![LogRhythm の[Alarm Rule]ウィンドウ→[Log Source Criteria]。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/alarm_rule.png)
[Alarm Rule]ウィンドウ
- Kaspersky CyberTrace に対応するソースを選択して、[OK]をクリックします。Kaspersky CyberTrace イベントソースを追加する方法の詳細は、「System Monitor Agent へのログソースの追加」セクションを参照してください。
![LogRhythm の[Log Source Criteria Add]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/log_source_criteria_add.png)
[Log Source Criteria Add]ウィンドウ
- [Aggregation]タブは変更せずに残します。
- [Settings]タブで、Kaspersky CyberTrace からの新しいサービスイベントの発生に関連付けられている同一のアラートを抑制する必要がある期間を指定します。
![LogRhythm の[Alarm Rule]ウィンドウ→[Settings]タブ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/alarm_rule2.png)
アラート抑制設定
- [Notify]タブで、通知に対応するロールまたはユーザーを選択します。
![LogRhythm の[Alarm Rule]ウィンドウ→[Notify]タブ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/alarm_rule3.png)
通知するロールの選択
- [Actions]タブは変更せずに残します。
- [Information]タブで、ルールの名前と説明を指定します。
![LogRhythm の[Alarm Rule]ウィンドウ→[Information]タブ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/alarm_rule4.png)
[Alarm Rule Name] / [Brief Description]
- [Primary Criteria]タブで、次を実行します:
- [OK]をクリックします。
- [Alarm Rules]タブで、新しいルールを右クリックして、[Actions]→[Enable]の順に選択します。
![LogRhythm の[Alarm Rules]リスト。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/alarm_rules_list.png)
ルールの有効化
- セクション「ステップ 10(オプション):LogRhythm でのアラートイベントの表示」に説明されているように、LogRhythm Web コンソールに表示されます。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。