Kaspersky CyberTrace サービスのログソースとしての追加
Kaspersky CyberTrace サービスのログソースとしての追加
2024年8月22日
ID 171612
QRadar が、Kaspersky CyberTrace サービスから送信されたイベントを受信するには、Kaspersky CyberTrace サービスをログソースとして扱う必要があります。Kaspersky CyberTrace サービスから送信されたイベントは QRadar ログイベント拡張フォーマット(LEEF)形式で、QRadar の新しいログソースはユニバーサル LEEF ログソースになります。
Kaspersky CyberTrace サービスをログソースとして QRadar に追加するには:
- [Admin]→[Log Sources]→[Add]の順にメニュー項目を選択します。
- [Add a log source]ウィンドウで、ログソースの一意の名前を入力します。
このソースからのすべてのイベントがこの名前で GUI に表示されます。
- ログソースの説明を入力します。
- [Log Source Type]コントロールで[
Universal LEEF
]を選択します。 - [Protocol Configuration]ドロップダウンリストで[Syslog]を選択します。
- Kaspersky CyberTrace サービス設定情報ファイル(この場合は
KL_Threat_Feed_Service_v2
)で設定した識別子を[Log Source Identifier]テキストボックスに入力します。この識別子は[EventFormat]パラメータと[AlertFormat]パラメータで使用されます。[Coalescing Events]はオンにしないでください。オンにすると、Kaspersky CyberTrace サービスからのすべてのイベントが 1 つのイベントに結合されて、役立つ情報になりません。
QRadar へのログソースの追加
- [Save]をクリックします。
同じ操作を実行して、KL_Verification_Tool
識別子を持つ別のログソースを追加します。このログソースは、Kaspersky CyberTrace サービスと QRadar 間のやり取りのテストに使用されます。
2 つのログソースを追加したら、[Admin]→[Deploy Changes]の順にメニュー項目を選択します。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。