ステップ 2:Kaspersky CyberTrace ルールおよびイベントのインポート
2024年4月11日
ID 200294
このセクションでは、Kaspersky CyberTrace ルールおよびイベントが含まれるファイルを LogRhythm にインポートする方法について説明します。
何らかの理由でインポートに失敗した場合、Kaspersky CyberTrace イベントと Kaspersky CyberTrace ルールを手動で追加するよう構成できます。
Kaspersky CyberTrace ルールとともにファイルを LogRhythm にインポートするには:
- ディレクトリ
integration/logrhythm/events/
内のmperule_%event_name%.xml
形式のファイルごとに、次の操作を実行します:- ファイルをテキストエディタで開きます。
[MPERuleToMST]→[MsgSourceTypeID]
および[MsgSourceType]→[MsgSourceTypeID]
の両方の要素の値を、前のステップでメモしたログのソースタイプ ID に置き換えます。たとえば、
<MsgSourceTypeID>1000000001</MsgSourceTypeID>
を<MsgSourceTypeID>%CYBERTRACE_ID%</MsgSourceTypeID>
に変更する必要があります。この場合、%CYBERTRACE_ID%
は、Kaspersky CyberTrace のログのソースタイプ ID を表します。- ファイルを保存します。
- LogRhythm Console を開きます。
- [Deployment Manager]→[Tools]→[Knowledge]→[MPE Rule Builder]の順に選択します。
[Rule Builder]フォームが表示されます。
- 前述のステップ 1 で編集したファイルごとに、次の操作を実行します:
- [File]→[Import]の順に選択します。
- [Import Actions]ウィンドウで、[Yes]をクリックします。
インポートに成功すると、[Rule Import Status]ウィンドウが開きます。
- [Rule Builder]フォームのツールバーで、[Open rule library]()をクリックします。
[Rule Browser]ウィンドウが開きます。
- ステップ b でインポートしたイベントをダブルクリックします。
ルール設定が表示されたウィンドウが開きます。
インポートしたルールは[
Development
]ステータスで LogRhythm に到達し、全てのルールのリストには表示されない可能性があります。[View]→[Show Development rules]の順に選択することで開く[Rule Browser]ウィンドウで表示を構成できます。 - 開いた[General]設定ウィンドウの[Rule Status]セクションで、[Production]または[Test]を選択します。
- [Save]をクリックします。
対応する共通のイベントと MPE ルールが全てのイベントに関して LogRhythm に追加されます。イベントの完全なリストは、Kaspersky CyberTrace イベントの追加に関するセクションに記載されています。MPE ルールとその設定の完全なリストは、Kaspersky CyberTrace ルールの追加に関するセクションに記載されています。
インポートした Kaspersky CyberTrace イベントの一部は、LogRhythm 分類に応じてリスクレートが低い可能性があります。フィルター設定によっては、LogRhythm によってこのようなイベントが無視される可能性があります。分類を確認し、インポートしたイベントのリスクレートで LogRhythm がこれらを適切に受け入れて処理できることを確認してください。