ステップ 8:検証テストの実行
2024年4月11日
ID 210292
このセクションでは、検証テストの実行により、Kaspersky CyberTrace と LogRhythm との正しい連携を検証する方法について説明します。
検証テストを実行するための条件を作成するには:
- セクション「ステップ 1:カスタムログソースタイプの追加」の説明に従って、次のパラメータを使用してカスタムログソースタイプを作成します:
Field
データ
Name
Kaspersky LogScanner
Full Name
Kaspersky LogScanner
Abbreviation
LogScanner
Log Format
Syslog
Brief Description
Kaspersky LogScanner はコマンドラインアプリケーションの一種です。これを使用してデータを Kaspersky CyberTrace サービスに送信し、データをフィードに対してチェックします。
- セクション「ステップ 3(オプション):Kaspersky CyberTrace イベントの追加」の説明に従って、次のパラメータを使用して新しい共通イベントを追加します:
Field
データ
Name
LogScanner_event
Classification
Audit : Other Audit
Brief Description
検証の目的のための LogScanner イベント
Risk Rating
Low-Low
[Common Event Properties]ウィンドウ
- セクション「ステップ 4(オプション):Kaspersky CyberTrace ルールの追加」の説明に従って、次のパラメータを使用してログスキャナーに MPE ルールを追加します:
- 「Log Message Source Type Associations]ツリーペインで、[Kaspersky LogScanner]を選択します。
- [Rule Name]として
LogScanner_event
を指定します。 - [Common Event]ドロップダウンリストで、[LogScanner_event]を選択します。
- [Rule Status]で、[Production]を選択します。
- [Base-Rule Regular Expression]で、「
.*
」を入力します。
[rule builder]フォーム
- 「ステップ 5:Adding Kaspersky CyberTrace ポリシー」の説明に従って、Kaspersky ログスキャナーの新しいポリシーを作成します。
[Log Source Type]リストで、[Kaspersky LogScanner]を選択します。「ステップ 5:Adding Kaspersky CyberTrace ポリシー」の説明に従って、その他すべてのパラメータを指定します。
- System Monitor Agent にログソースを追加します:
- ログスキャナー設定情報ファイルで、LogRhythm が実行されるコンピューターの IP アドレスとポート
514
を指定します。 - ファイル
%service_dir%/verification/kl_verification_test_cef.txt
を LogRhythm に送信します。- Linux では、この場合、次のコマンドを実行します:
./log_scanner -p ../verification/kl_verification_test_cef.txt
- Windows では、この場合、次のコマンドを実行します:
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
- Linux では、この場合、次のコマンドを実行します:
- ログスキャナー設定情報ファイルで、LogRhythm が実行されるコンピューターの IP アドレスとポート
Kaspersky ログスキャナーがイベントを送信した後、[Log Sources]タブに新しい項目が表示されます。
新しいログソースを受け入れるには:
- 新しい項目を右クリックして、[Actions]→[Resolve Log Source Hosts]の順に選択します。
- 新しい項目をダブルクリックします。
[Log Source Acceptance Properties]ウィンドウが表示されます。
[Log Source Acceptance Properties]ウィンドウ
- プロパティを編集します:
- ログソースホストを指定します。
- ログソースタイプとして[
Kaspersky LogScanner
]を指定します。 - Kaspersky ログスキャナーに対して以前に作成した MPE ポリシーを選択します。
- [OK]をクリックします。
- 不明なログソースホストは使用できないことを示すエラーメッセージが表示された場合、次のようにして新しいエンティティを追加します:
- LogRhythm Console で、[Entities]タブを選択します。
- [New Child Entity]ツールバーボタンをクリックします。
- 表示される[Entity Properties]ウィンドウで、エンティティのプロパティを指定します。
エンティティ名は一意かつ空でないようにする必要があります。その他のエンティティのプロパティは任意にできます。
- [OK]をクリックします。
- 作成したエンティティをログソースホストとして使用して、ステップ 3 の操作を繰り返します。
- [Action]をオンにします。
- ログソースを右クリックして、[Actions]→[Accept]→[Defaults]の順に選択します。
ログソースのコンテキストメニュー
LogRhythm Console の下の表に、新しいログソースが表示されます。
新しいログソース
- LogRhythm を再読み込みします。
セクション「ステップ 7:Kaspersky CyberTrace へのログ転送の構成」の説明に従ってログ転送を以前に構成した場合、[Log source]として[Kaspersky LogScanner]が選択されていることを確認します(「ログ配布ポリシーの追加」サブセクションを参照)。
検証テストを実行するには:
ファイル %service_dir%/verification/kl_verification_test_cef.txt
を LogRhythm に再送します。
- Linux では、この場合、次のコマンドを実行します:
./log_scanner -p ../verification/kl_verification_test_cef.txt
- Windows では、この場合、次のコマンドを実行します:
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
Kaspersky CyberTrace と LogRhythm との連携が正しく構成されている場合、ログスキャナーからのテストイベントが Kaspersky CyberTrace に自動的に転送されます。次に、Kaspersky CyberTrace からのアラートイベントが LogRhythm に送信されます。検知の件数は、有効な Kaspersky Threat Data Feeds に応じて異なる場合があります。セクション「ステップ 10(オプション):LogRhythm でのアラートイベントの表示」に説明されているように、LogRhythm Web コンソールに表示されます。また、LogRhythm Console の[Tail]タブで、ソースイベントをリアルタイムに表示するためのテールを作成することで、LogRhythm との連携を検証できます。