サポート

法人向けアプリケーション

Kaspersky CyberTrace

ユーザーガイド

Kaspersky CyberTrace Web の使用

検知の表示

レトロスキャン検知について
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

レトロスキャン検知について

2024年4月11日

ID 270640

レトロスキャン検知は、マッチングに基づく検知とは、いくつかの点で異なります。このセクションでは、レトロスキャン検知の詳細について説明します。

レトロスキャン中は、Cyber​​Trace で分析用に保存された受信イベントは、[Fields saved for retroscan]タブにあるレトロスキャン設定で指定された正規表現によって取得された値のみを表します。このため、[Detections]ページの[Whole source event]フィールドには、受信イベントの代わりにプレースホルダーが表示されます。

レトロスキャン検知の[Reception date]フィールドには、検知日(これは[Detection date]列で指定されます)ではなく、最初のイベントを受信した日付が含まれます。

受信イベントが保存された瞬間からレトロスキャン検知が形成されるまでの間に設定で正規表現の名前が変更された場合、変更された正規表現を使用する検知イベントのコンテキストには、対応する値が含まれません。保存されたイベント内の名前とは異なるためです。次の例を参照してください:

受信イベント:

CEF:0|Kaspersky|CyberTrace Verification Kit|1.2|0|Verification_test|2| request=http://fakess123bn.nu suser=EvalTestUserName src=192.168.0.0 dvc=127.0.0.0 dst=192.0.2.0 act=VerificationTest eventId=110

イベント受信時に構成された正規表現:

RE_URL:(?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)

 

SRC_IP:(?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)

 

UserName: suser\=(.*?)(?:$|\s)

 

レトロスキャン検知の形成時に構成された正規表現:

REGEX_URL: (?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)

 

SRC_IP: (?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)

 

USER_NAME:suser\=(.*?)(?:$|\s)

 

検知の形式:

CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% src=%SRC_IP% request=%REGEX_URL% suser=%USER_NAME% msg=CyberTrace detected %Category% cs5Label=MatchedIndicator

形成されたレトロスキャン検知イベント:

CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=KL_BotnetCnC_URL src=192.168.0.0 request=- suser=- msg=CyberTrace detected KL_BotnetCnC_URL cs5Label=MatchedIndicator cs5=fakess123bn.nu

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。