ステップ 2：Kaspersky CyberTrace ルールおよびイベントのインポート

このセクションでは、Kaspersky CyberTrace ルールおよびイベントが含まれるファイルを LogRhythm にインポートする方法について説明します。

何らかの理由でインポートに失敗した場合、Kaspersky CyberTrace イベントと Kaspersky CyberTrace ルールを手動で追加するよう構成できます。

Kaspersky CyberTrace ルールとともにファイルを LogRhythm にインポートするには：

1. ディレクトリ integration/logrhythm/events/ 内の mperule_%event_name%.xml 形式のファイルごとに、次の操作を実行します：
   1. ファイルをテキストエディタで開きます。
   2. ［MPERuleToMST］→［MsgSourceTypeID］および［MsgSourceType］→［MsgSourceTypeID］の両方の要素の値を、前のステップでメモしたログのソースタイプ ID に置き換えます。

      たとえば、<MsgSourceTypeID>1000000001</MsgSourceTypeID> を <MsgSourceTypeID>%CYBERTRACE_ID%</MsgSourceTypeID> に変更する必要があります。この場合、%CYBERTRACE_ID% は、Kaspersky CyberTrace のログのソースタイプ ID を表します。

   3. ファイルを保存します。
2. LogRhythm Console を開きます。
3. ［Deployment Manager］→［Tools］→［Knowledge］→［MPE Rule Builder］の順に選択します。

   ［Rule Builder］フォームが表示されます。

4. 前述のステップ 1 で編集したファイルごとに、次の操作を実行します：
   1. ［File］→［Import］の順に選択します。

      

   2. ［Import Actions］ウィンドウで、［Yes］をクリックします。

      

      インポートに成功すると、［Rule Import Status］ウィンドウが開きます。

      

   3. ［Rule Builder］フォームのツールバーで、［Open rule library］（）をクリックします。

      ［Rule Browser］ウィンドウが開きます。

   4. ステップ b でインポートしたイベントをダブルクリックします。

      ルール設定が表示されたウィンドウが開きます。

      インポートしたルールは［Development］ステータスで LogRhythm に到達し、全てのルールのリストには表示されない可能性があります。［View］→［Show Development rules］の順に選択することで開く［Rule Browser］ウィンドウで表示を構成できます。

      

   5. 開いた［General］設定ウィンドウの［Rule Status］セクションで、［Production］または［Test］を選択します。

      

   6. ［Save］をクリックします。

   対応する共通のイベントと MPE ルールが全てのイベントに関して LogRhythm に追加されます。イベントの完全なリストは、Kaspersky CyberTrace イベントの追加に関するセクションに記載されています。MPE ルールとその設定の完全なリストは、Kaspersky CyberTrace ルールの追加に関するセクションに記載されています。

インポートした Kaspersky CyberTrace イベントの一部は、LogRhythm 分類に応じてリスクレートが低い可能性があります。フィルター設定によっては、LogRhythm によってこのようなイベントが無視される可能性があります。分類を確認し、インポートしたイベントのリスクレートで LogRhythm がこれらを適切に受け入れて処理できることを確認してください。