カスタムまたはサードパーティのメール種別のフィードの追加
2024年4月11日
ID 234013
このセクションでは、メールタイプのカスタムまたはサードパーティのフィードの追加方法およびその設定の変更方法について説明します。
フィードを追加するには:
- [Filtering rules for feeds]セクションで、[Custom feeds]をクリックします。
[Custom feed]ウィンドウが表示されます。
- [Feed type]フィールドで、フィードの電子メールタイプを指定します。
以下に関して[Custom feed]ウィンドウが変更されます:
電子メールタイプのフィードの追加
- 電子メールタイプのフィードについては、以下の情報を指定します:
- Feed name
フィード名では、ラテン文字、数字、下線、およびハイフンが使用できます。名前は、既に使用している他のフィード名とは別のものにする必要があります。
フィード名として FalsePositive および InternalTI は使用しないでください。これらは、Kaspersky CyberTrace の組み込み脅威インジケーター名として予約されているためです。
基本認証を使用する場合は、フィード名に @ 文字を使用しないでください。ユーザー名またはパスワードには @ が含まれています。
- Feed type
電子メールタイプのフィードを指定します。
[Use TLS/SSL]をオンにし、TLS/SSL 証明書を使用したメールサーバーとの対話を有効にします。
[Use TLS/SSL]は既定ではオンです。メールサーバーが TLS/SSL を使用しない場合はオフにします。
- Host
接続先のメールサーバーのホスト名または IP アドレス。このフィールドは空にできません。
- Port
接続先の電子メールサーバーのポート。このフィールドは空にできません。
- Mail server type
メールサーバーとの対話用のプロトコル。POP3 または IMAP を選択します。既定では、IMAP が選択されます。
- Vendor name
ドロップダウンリストから、フィードベンダーの名前を選択するか、[Add new vendor]を選択して新しい名前を作成します。
- Confidence
フィードの信頼性のレベル。このフィールドは空にできません。使用可能な値の範囲は、1 ~ 100 です。
事前設定値は、カスペルスキーからのフィードでは「
100
」、OSINT feeds では「50
」、およびサードパーティのフィードでは「50
」です。これらの値は変更できます。 - Days to process emails
電子メールサーバーからのメッセージを処理するために必要な日数。このフィールドは空にできません。
整数の正数を指定します。最大値は 365 です。7 が事前設定されています。
- Login
電子メールサーバーに接続するためのユーザーアカウント。このフィールドは空にできません。
- Password
電子メールサーバーに接続するためのアカウントのパスワード。このフィールドは空にできません。
- Check connection
[Check connection]をクリックし、メールサーバーに接続します。結果はポップアップウィンドウに表示されます。
- Feed name
上記のフィールドに入力した後、[Next]をクリックして別の設定ウィンドウに進み、メールメッセージのフィルタリングルール、およびメッセージボディとメッセージ添付ファイルの解析ルールを指定します。
メールフィードを追加した後に、[Retention period
]の値を更新します(事前設定値 365 日)。
電子メールタイプのフィードのフィルタリングルールおよび解析ルールの構成
以下のウィンドウには、フィルタリングルールおよび解析ルールを構成するためのフィールドが含まれます。
フィルタリングルールおよび解析ルール
メッセージフィルターの追加
メッセージフィルターは、解析対象のメールの選択ルールを設定します。件名および送信者別に電子メールを選択できます。すべてのルールに AND 条件が使用されます。
メッセージフィルターを追加するには:
- [Custom feed]ウィンドウの[Email filtering rules]セクションで、[Add rule]をクリックします。
1 つ以上の結果を追加できます。ルールを追加しない場合は、解析はサーバーからのすべてのメールに適用されます。
- すべてのフィールドに対して、以下の情報を指定します:
- Field for filter
電子メールメッセージ内の以下のフィールドにフィルタリングルールを適用できます:
- From
電子メールメッセージの送信者。
- Subject
電子メールメッセージの件名。
- From
- フィルターの条件
次のいずれかの値を選択します:
- Contains(既定)
電子メールメッセージの値には、このフィールドの値が含まれる必要があります。
これが既定値です。
- Not contains
電子メールメッセージの値には、このフィールドの値が含まれる必要があります。
- Match
電子メールメッセージの値は、このフィールドの値と等しい必要があります。
- Not match
電子メールメッセージの値は、このフィールドの値と等しくない必要があります。
- Contains(既定)
- Value
電子メールサーバーからの電子メールメッセージをフィルタリングするために使用される基準。
このフィールドは空にできません。
- Field for filter
メールサーバーは、次の 2 つのバリアントで[From]フィールドを形成します: sender@mail.ru または sender<sender@mail.ru>。
[Field for filter]に[From]があり、[Filtration condition]に[Match]がある場合は、 [ Value]は sender@mail.ru 値([From]フィールド に sender@mail.ru がある場合)または括弧内の値([From]フィールドに sender<sender@mail.ru> がある場合)と比較されます。
メッセージ添付ファイルの解析ルールの構成
これらのルールには、添付ファイルタイプの設定だけでなく、インジケーターや添付ファイルのコンテキストを解析するための正規表現も含まれます。
メッセージ添付ファイルの解析ルールを指定するには:
- [Message attachments parsing]へ移動します。
メッセージ添付ファイルの解析は規定で有効です。添付ファイルの 1 つ以上のタイプを適用できます。1 つのタイプの添付ファイルを適用できるのは 1 回のみです。
- [Attachment]セクションで、選択した添付ファイルのタイプに合わせてフィールドを指定します。
- Attachment type
ドロップダウンリストから、添付ファイルのタイプを選択します。添付ファイルのタイプとして以下の値の 1 つを使用できます:
- csv
CSV 添付ファイルの場合は、列を区切る区切り文字を指定します。事前設定の区切り文字には、セミコロン(;)が使用されます。
[Attachment]セクションで指定するフィールドは次の通りです:[Field type]、[Field name]、[Column number]。
- json
[Attachment]セクションで指定するフィールドは次の通りです:[Field type]、[Field name]、[Root element]。
- stix1
stix1 および xml の解析ルールがメールフィード設定で同時に指定されると、stix1 ファイルが先に解析されます。
stix1 ファイルがエラーなしで解析されると、通常の xml ファイルとして処理されなくなります。
- stix2
stix2 および json の解析ルールがメールフィード設定で同時に指定されると、stix2 ファイルが先に解析されます。
stix2 ファイルがエラーなしで解析されると、通常の json ファイルとして処理されなくなります。
- pdf
[Attachment]セクションで指定するフィールドは次の通りです:[Field type]、[Field name]、[Regular expression]。
必要に応じて、[Regular expression]フィールドで、事前設定の正規表現を選択したり、修正したりできます。
URL および IP インジケーターでは、事前設定の正規表現は、インジケーター受信するように設定されます。この値では、ドットは括弧で囲まれています。(例:badurl[.].com)。
CyberTrace バージョン 4.2 では、MD5、SHA1、SHA256 の正規表現で、より長い値のフラグメントをより長いインジケーターから抽出可能です(
a-f
の文字と数字で構成されている、より長いハッシュや URL など)。MD5、SHA1、SHA256 の既定の正規表現を、より特定的なものに置換することを推奨します。たとえば、MD5 には[^\da-fA-F]([\da-fA-F]{32})[^\da-fA-F]
instead of([\da-fA-F]{32})
が使用できます。 - xml
XML 添付ファイルでは、ルート要素を指定します。この場合、ルート要素に関連するフィード要素の名前を使用できます。ルートとして指定する要素は、指定したフィードのネストのレベルに応じて異なります。「カスタムまたはサードパーティのフィードの追加」セクションのステップ 4 の XML フィードのルート要素の例を参照してください。
[Attachment]セクションで指定するフィールドは次の通りです:[Field type]、[Field name]、[Element]。
- csv
- Field type
インジケータータイプを選択します。
このフィールドは、stix1 および stix2 では使用できません。
- フィールド名
この名前は、マッチングプロセスで参照されます。
フィールド名では、ラテン文字、数字、下線、およびハイフンを使用できます。名前には、少なくとも 1 つのラテン文字が含まれている必要があります。
このフィールドは、stix1 および stix2 では使用できません。
- Root element
JSON 添付ファイルタイプのルート要素を指定します。任意のネストレベルのルート要素値を指定できます。ネストレベルの制限は、「
/
」文字で定義します。ルート要素パラメータを空にすることはできません。空でない場合は、ルート要素の値に空のネストレベル(部分文字列「
//
」)を含めることはできず、「/
」文字で開始または終了できません。JSON フィードではルート要素にワイルドカードを使用できません。
- Attachment type
- 除外ルールを適用する場合は、正規表現を使用します。
- [Check parsing]をクリックし、添付ファイルの解析設定を確認します。
処理されたボディとその添付ファイルのインジケーターを含む結果のフィードの最初の 50 の文字列が表示されます。
- [Save]をクリックします。
メッセージボディの解析ルールの構成
これらのルールには、インジケーターおよびメッセージボディのコンテキストを解析するための正規表現が含まれます。
メッセージボディの解析ルールを指定するには:
- [Custom feed]ウィンドウの[Message body parsing]を選択します。
- [Rules]セクションで、以下のフィールドを指定します:
- Field type
インジケータータイプを選択します。
- フィールド名
この名前は、マッチングプロセスで参照されます。
フィールド名では、ラテン文字、数字、下線、およびハイフンを使用できます。名前には、少なくとも 1 つのラテン文字が含まれている必要があります。
- Regular expression
必要に応じて、[Regular expression]フィールドで、事前設定の正規表現を選択したり、修正したりできます。
URL および IP インジケーターでは、事前設定の正規表現は、インジケーター受信するように設定されます。この値では、ドットは括弧で囲まれています。(例:badurl[.].com)。
CyberTrace バージョン 4.2 では、MD5、SHA1、SHA256 の正規表現で、より長い値のフラグメントをより長いインジケーターから抽出可能です(
a-f
の文字と数字で構成されている、より長いハッシュや URL など)。MD5、SHA1、SHA256 の既定の正規表現を、より特定的なものに置換することを推奨します。たとえば、MD5 には[^\da-fA-F]([\da-fA-F]{32})[^\da-fA-F]
instead of([\da-fA-F]{32})
が使用できます。[Add new expression]をクリックし、正規表現をもう 1 つ適用します。
除外ルールを適用する場合は、正規表現を使用します。
- Field type
- [Check parsing]をクリックし、メッセージボディの解析設定を確認します。
処理されたメッセージとその添付ファイルのインジケーターを含む、結果のフィードの最初の 50 文字列が表示されます。
- [Save]をクリックします。