サポート

法人向けアプリケーション

Kaspersky CyberTrace

管理者ガイド

Kaspersky CyberTrace Web の管理

マッチングプロセスの設定

SIEM にイベントを送信するためのフィルタリング基準について
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

SIEM にイベントを送信するためのフィルタリング基準について

2024年4月11日

ID 198320

Kaspersky CyberTrace を使用することで、検知イベントのフィルタリングルールを指定できます。各フィルタリングルールは、[Matching]→[Event source filters]セクションで設定します。インジケーター属性名は、インジケーターデータベースから設定し、フィルタリング条件とフィルタリング値は、[Field name]ドロップダウンリスト、[Condition]ドロップダウンリスト、[Value]テキストボックスでそれぞれ指定します。フィルタリングルールに指定されている属性が検知インジケーターにない場合、このインジケーターはフィルタリング基準を満たしていると判断されます。

Kaspersky CyberTrace が検知イベントを送信するのは、SIEM ソリューションに検知イベントを送信するためのフラグ(インジケーターデータベース内の ioc_supplier_send_match_event 属性)が true に設定されており、インジケーターと一致したフィードレコードのすべてのフィールドがフィルタリング基準を満たす場合のみです。

SIEM にイベントを送信するためのフィルタリング基準の適用時に検知イベントの保存を無効にすると、指定した基準と適合しないインジケーターが含まれる検知イベントが失われます。

次の表は、検知イベントに適用できるフィルタリング条件のリストです:

使用可能なフィルタリング条件

フィルタリング条件

Description

特定の値と同等

インジケーター属性は、指定した値と同等です。

この条件を適用するには、[Condition]ドロップダウンリストの[value is equal to OR field is not present]を選択し、[Value]テキストボックスに単一の値を指定します。

少なくとも複数の値の 1 つと同等

インジケーター属性には、指定した値の 1 つ以上が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is one of (separated by a new line) OR field is not present]を選択し、[Value]テキストボックスに複数の値を指定します。

空の値を指定しないでください。新しい各値は、改行によって以前の値と区切る必要があります。

数値の範囲に属する

インジケーター属性には、指定した範囲内の値が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is equal to OR field is not present]を選択し、[Value]テキストボックスに値の範囲を指定します。範囲の境界が含まれることに注意してください。

これらの値は整数である必要があります。

指定した値以上の数値の範囲に属する

インジケーター属性には、指定した値以上の数値が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is more than (inclusive) OR field is not present]を選択し、[Value]テキストボックスに単一の値を指定します。

この値は整数である必要があります。

指定した値以下の数値の範囲に属する

インジケーター属性には、指定した値以下の数値が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is less than (inclusive) OR field is not present]を選択し、[Value]テキストボックスに単一の値を指定します。

この値は整数である必要があります。

日付の範囲に属する

インジケーター属性には、指定した範囲内の日付が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[date is in range (inclusive) OR field is not present]を選択し、[Value]テキストボックスに値の範囲を指定します。

両方の範囲境界に関する現在のシステム時間が含まれる %NOW% 値(このテンプレートでは大文字小文字が区別されます)を使用できます。この値に数値を足したり、この値から数値を引いたりできます(たとえば、左側の境界に %NOW%-7、右側の境界に %NOW% を指定できます)。

また、%NOW% に対する相対値として境界に対して任意の日数または次の事前設定値の 1 つを選択することもできます:

  • 1 day ago
  • 7 days ago
  • 30 days ago

指定した値以上の日付の範囲に属する

インジケーター属性には、指定した値以上の日付が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[date is more than (inclusive) OR field is not present]を選択し、[Value]テキストボックスに日付を指定します。

範囲の左側の境界に関する現在のシステム時間が含まれる %NOW% 値(このテンプレートでは大文字小文字が区別されます)を使用できます。この値に数値を足したり、この値から数値を引いたりできます。

また、境界に対して次の事前設定値の 1 つを選択することもできます(この値は %NOW% に対する相対値です):

  • 1 day ago
  • 7 days ago
  • 30 days ago

指定した値以下の日付の範囲に属する

インジケーター属性には、指定した値以下の日付が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[date is less than (inclusive) OR field is not present]を選択し、[Value]テキストボックスに日付を指定します。

範囲の右側の境界に関する現在のシステム時間が含まれる %NOW% 値(このテンプレートでは大文字小文字が区別されます)を使用できます。この値に数値を足したり、この値から数値を引いたりできます。

また、境界に対して次の事前設定値の 1 つを選択することもできます(この値は %NOW% に対する相対値です):

  • 1 day ago
  • 7 days ago
  • 30 days ago

空でない値と同等

このインジケーター属性には、空でない値が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is non-empty]を選択します。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。