ステップ 9(オプション):受信 Kaspersky CyberTrace サービスイベントに関するアラートの作成
ステップ 9(オプション):受信 Kaspersky CyberTrace サービスイベントに関するアラートの作成
2024年8月22日
ID 196831
受信 Kaspersky CyberTrace サービスイベントに関する通知を作成するには、アラートルールを構成します。
LogRhythm で、Kaspersky CyberTrace からのサービスイベントに関する通知を作成するには:
- LogRhythm Console を実行します。
- [Deployment Manager]→[Alarm Rules]の順に選択して、[New]をクリックします。
- [Create Global Rule]確認ウィンドウで、[Global Admin]ロールを持つすべてのユーザーでこのルールを管理するためのアクセスを指定する場合は[Yes]をクリックします。このルールを自身のみで管理する場合は[No]をクリックします。
- ページの下部の各タブで次の操作を実行します:
- [Primary Criteria]タブで、次を実行します:
- [New]をクリックし、[Add New Field Filter]ドロップダウンリストで[Common Event]値を選択します。
- [Edit values]をクリックします。
[Field Filter Values]ウィンドウが表示されます。
- [Field Filter Values]ウィンドウで、[Add Item]をクリックします。
- リストから Kaspersky CyberTrace サービスイベントの名前を選択します。このイベントが存在しない場合、「Kaspersky CyberTrace イベントの追加」セクションの説明に従って追加します。
- [OK]をクリックします。
- [Include Filters][Exclude Filters]および[Day and Time Criteria]タブは変更せずに残します。
- [Log Source Criteria]タブで、[Include the Selected Log Sources]をオンにして[Add]をクリックします。
[Alarm Rule]ウィンドウ
- Kaspersky CyberTrace に対応するソースを選択して、[OK]をクリックします。Kaspersky CyberTrace イベントソースを追加する方法の詳細は、「System Monitor Agent へのログソースの追加」セクションを参照してください。
[Log Source Criteria Add]ウィンドウ
- [Aggregation]タブは変更せずに残します。
- [Settings]タブで、Kaspersky CyberTrace からの新しいサービスイベントの発生に関連付けられている同一のアラートを抑制する必要がある期間を指定します。
アラート抑制設定
- [Notify]タブで、通知に対応するロールまたはユーザーを選択します。
通知するロールの選択
- [Actions]タブは変更せずに残します。
- [Information]タブで、ルールの名前と説明を指定します。
[Alarm Rule Name] / [Brief Description]
- [Primary Criteria]タブで、次を実行します:
- [OK]をクリックします。
- [Alarm Rules]タブで、新しいルールを右クリックして、[Actions]→[Enable]の順に選択します。
ルールの有効化
- セクション「ステップ 10(オプション):LogRhythm でのアラートイベントの表示」に説明されているように、LogRhythm Web コンソールに表示されます。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。