ステップ 8：検証テストの実行

このセクションでは、検証テストの実行により、Kaspersky CyberTrace と LogRhythm との正しい連携を検証する方法について説明します。

検証テストを実行するための条件を作成するには：

1. セクション「ステップ 1：カスタムログソースタイプの追加」の説明に従って、次のパラメータを使用してカスタムログソースタイプを作成します：

   Field	データ
   Name	Kaspersky LogScanner
   Full Name	Kaspersky LogScanner
   Abbreviation	LogScanner
   Log Format	Syslog
   Brief Description	Kaspersky LogScanner はコマンドラインアプリケーションの一種です。これを使用してデータを Kaspersky CyberTrace サービスに送信し、データをフィードに対してチェックします。

2. セクション「ステップ 3（オプション）：Kaspersky CyberTrace イベントの追加」の説明に従って、次のパラメータを使用して新しい共通イベントを追加します：

   Field	データ
   Name	LogScanner_event
   Classification	Audit : Other Audit
   Brief Description	検証の目的のための LogScanner イベント
   Risk Rating	Low-Low

   

   ［Common Event Properties］ウィンドウ

3. セクション「ステップ 4（オプション）：Kaspersky CyberTrace ルールの追加」の説明に従って、次のパラメータを使用してログスキャナーに MPE ルールを追加します：
   • 「Log Message Source Type Associations］ツリーペインで、［Kaspersky LogScanner］を選択します。
   • ［Rule Name］として LogScanner_event を指定します。
   • ［Common Event］ドロップダウンリストで、［LogScanner_event］を選択します。
   • ［Rule Status］で、［Production］を選択します。
   • ［Base-Rule Regular Expression］で、「.*」を入力します。

   

   ［rule builder］フォーム

4. 「ステップ 5：Adding Kaspersky CyberTrace ポリシー」の説明に従って、Kaspersky ログスキャナーの新しいポリシーを作成します。

   ［Log Source Type］リストで、［Kaspersky LogScanner］を選択します。「ステップ 5：Adding Kaspersky CyberTrace ポリシー」の説明に従って、その他すべてのパラメータを指定します。

5. System Monitor Agent にログソースを追加します：
   1. ログスキャナー設定情報ファイルで、LogRhythm が実行されるコンピューターの IP アドレスとポート 514 を指定します。
   2. ファイル %service_dir%/verification/kl_verification_test_cef.txt を LogRhythm に送信します。
      • Linux では、この場合、次のコマンドを実行します：

        ./log_scanner -p ../verification/kl_verification_test_cef.txt

      • Windows では、この場合、次のコマンドを実行します：

        log_scanner.exe -p ..\verification\kl_verification_test_cef.txt

Kaspersky ログスキャナーがイベントを送信した後、［Log Sources］タブに新しい項目が表示されます。

新しいログソースを受け入れるには：

1. 新しい項目を右クリックして、［Actions］→［Resolve Log Source Hosts］の順に選択します。
2. 新しい項目をダブルクリックします。

   ［Log Source Acceptance Properties］ウィンドウが表示されます。

   

   ［Log Source Acceptance Properties］ウィンドウ

3. プロパティを編集します：
   • ログソースホストを指定します。
   • ログソースタイプとして［Kaspersky LogScanner］を指定します。
   • Kaspersky ログスキャナーに対して以前に作成した MPE ポリシーを選択します。
4. ［OK］をクリックします。
5. 不明なログソースホストは使用できないことを示すエラーメッセージが表示された場合、次のようにして新しいエンティティを追加します：
   1. LogRhythm Console で、［Entities］タブを選択します。
   2. ［New Child Entity］ツールバーボタンをクリックします。

      

   3. 表示される［Entity Properties］ウィンドウで、エンティティのプロパティを指定します。

      

      エンティティ名は一意かつ空でないようにする必要があります。その他のエンティティのプロパティは任意にできます。

   4. ［OK］をクリックします。
   5. 作成したエンティティをログソースホストとして使用して、ステップ 3 の操作を繰り返します。
6. ［Action］をオンにします。
7. ログソースを右クリックして、［Actions］→［Accept］→［Defaults］の順に選択します。

   

   ログソースのコンテキストメニュー

   LogRhythm Console の下の表に、新しいログソースが表示されます。

   

   新しいログソース

8. LogRhythm を再読み込みします。

セクション「ステップ 7：Kaspersky CyberTrace へのログ転送の構成」の説明に従ってログ転送を以前に構成した場合、［Log source］として［Kaspersky LogScanner］が選択されていることを確認します（「ログ配布ポリシーの追加」サブセクションを参照）。

検証テストを実行するには：

ファイル %service_dir%/verification/kl_verification_test_cef.txt を LogRhythm に再送します。

• Linux では、この場合、次のコマンドを実行します：

  ./log_scanner -p ../verification/kl_verification_test_cef.txt

• Windows では、この場合、次のコマンドを実行します：

  log_scanner.exe -p ..\verification\kl_verification_test_cef.txt

Kaspersky CyberTrace と LogRhythm との連携が正しく構成されている場合、ログスキャナーからのテストイベントが Kaspersky CyberTrace に自動的に転送されます。次に、Kaspersky CyberTrace からのアラートイベントが LogRhythm に送信されます。検知の件数は、有効な Kaspersky Threat Data Feeds に応じて異なる場合があります。セクション「ステップ 10（オプション）：LogRhythm でのアラートイベントの表示」に説明されているように、LogRhythm Web コンソールに表示されます。また、LogRhythm Console の［Tail］タブで、ソースイベントをリアルタイムに表示するためのテールを作成することで、LogRhythm との連携を検証できます。