サポート

法人向けアプリケーション

Kaspersky CyberTrace

管理者ガイド

Kaspersky CyberTrace Web の管理

マッチングプロセスの設定
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

マッチングプロセスの設定

2024年4月11日

ID 156534

Settings]タブ→[Matching]タブの順に選択することで、マッチングプロセスの設定を管理できます。

[Event sources]ウィンドウ。

イベントソース

Kaspersky CyberTrace では、イベントソースごとに正規表現とイベント正規化ルールがグループ化されます。特定のイベントソースに関連しない正規表現とイベント正規化ルールは、default イベントソースの下にグループ化されます。各イベントソースには、少なくとも 1 つの正規表現が必要です。default 以外のイベントソースは追加や削除が可能で、プロパティを編集することもできます。

Event sources]ページには、Kaspersky CyberTrace サービス設定情報ファイルで定義されているすべてのイベントソース(default イベントソースを除く)が表示されます。表示されているイベントソースの以下のプロパティは、[Event sources]ページで直接編集できます:

  • Source ID

    イベントソースの名前。使用されているイベントソース名の中で一意でなければなりません。名前では、アルファベット、数字、ハイフン(-)、ピリオド(.)、アンダースコア(_)を使用できます。

  • イベントソースのタイプ

    次のいずれかを選択できます:

    • IP address

      解析ルールを追加するイベントを発行するデバイスの IP アドレス。IPv4 アドレスと IPv6 アドレスの両方がサポートされます。

    • Host name

      イベントを発行するデバイスのホスト名。この値は、このイベントソースから受信する Syslog メッセージの HOSTNAME フィールドの値と同じでなければなりません。

    • Regular expression

      Kaspersky CyberTrace が受信したイベントのソースと一致する正規表現。この正規表現は最適化されている必要があります。

表示されているイベントソースに定義されているイベント正規化ルールと正規表現を編集するには、該当の[Properties]を選択します。default イベントソースの場合は、[Edit default rules]を選択する必要があります。いずれの場合も、イベントソースプロパティを編集するためのフォームが開きます(以下の「イベントソースプロパティの編集フォーム」サブセクションを参照してください)。

イベントソースの追加

イベントソースを追加するには:

  1. Add new event source]を選択します。

    [Add New Event Source]ウィザードが起動されます。

    [Add New Event Source]ウィンドウ。

    新しいイベントソースの追加(ステップ 1)

  2. 新しいイベントソースの名前と IP アドレスまたはホスト名、もしくは正規表現を指定します。

    IPv4 アドレスと IPv6 アドレスの両方がサポートされます。

  3. Next]をクリックします。

    前のステップで入力されたデータが正しい場合、正規表現とイベント正規化ルールを指定するフォームが開きます(以下の「イベントソースプロパティの編集フォーム」サブセクションを参照してください)。

    Kaspersky CyberTrace は、既定の正規表現を使用して、受信したイベントからのデータ取得を試行します。少なくとも 5 秒間はイベントの収集を継続することを推奨します。

    イベントソースプロパティの定義ウィンドウ。

    イベントソースプロパティの指定

  4. イベントソースプロパティを指定し、[OK]をクリックします。

    入力されたイベントソースプロパティが正しい場合、新しいイベントソースが作成されます。

イベントソースプロパティの編集フォーム

イベントソースプロパティの編集フォームは、上部のエリアと下部のエリアに分かれています。上部のエリアにはイベントが表示され、選択した正規表現によって抽出された部分文字列が強調表示されます。下部のエリアには、[Normalization rules]タブと[Regular expressions]タブという 2 つのタブがあります。

イベントソースプロパティの編集フォームが開くと、イベントソースによって発行されたイベントの収集が開始されます。これらのイベントは正規化ルールに従って処理され、結果はフォームの上部エリアに表示されます。

イベントソースのホスト名を指定しても、受信イベントの HOSTNAME フィールドを抽出できないと、イベントは表示されません。この問題を解決するには、イベントソースの IP アドレスまたは正規表現を指定するか、イベントの形式を変更します。

受信イベントのリアルタイムでの収集は中断または再開できます。受信イベントの収集を再開すると、イベントを表示するテキストボックスの内容が消去されます。このテキストボックスには最大で 50 行表示できます。それ以上のデータを受信すると、古いデータが削除されます。

イベント正規化ルールの指定

イベントソースプロパティの編集フォームの下部エリアで[Normalization rules]タブを選択すると、イベントソースの条件を満たす受信イベントに適用される正規化ルールを追加、削除、または編集できます。どの文字列を他の文字列に置き換えるか(置き換えルール)、どの文字列を使用すれば無視するイベントを特定できるか(無視ルール)を指定できます。[Apply normalization rules]をオフにすると、正規化ルールを指定するための制御がすべて無効化され、編集中のイベントソースで正規化ルールが保存されません。

置き換えルールでは改行文字列(\n)を指定しないでください。結合された受信イベントを個々のイベントに分割するには、Kaspersky CyberTrace サービス設定情報ファイルの[InputSettings]→[EventDelimiter]要素を使用します。

作成中のイベントソースでは、当初は[Normalization rules]タブの下のフォームに、default イベントソースに指定された正規化ルールが挿入されています。

正規表現の指定

イベントソースプロパティの編集フォームの下部エリアで[Regular expressions]タブを選択すると、イベントソースの条件を満たす受信イベントに適用される正規表現を追加、削除、または編集できます。作成中のイベントソースでは、当初は[Regular expressions]タブの下のフォームに、default イベントソースに指定され、表示されているイベントから少なくとも一部のデータを抽出する正規表現が挿入されています。

正規表現には次のプロパティがあります:

  • インジケータータイプ

    イベントから抽出するデータのタイプ。次のいずれかのインジケータータイプを設定できます:

    • URL
    • MD5
    • SHA1
    • SHA256
    • HASH
    • IP
    • DOMAIN
    • CONTEXT
  • 正規表現名

    正規表現名は、同じイベントソースに関連する正規表現名の中で一意でなければなりません。

  • 正規表現

    イベントから必要な値を抽出するために使用される正規表現

  • Extract all]チェックボックス

    このチェックボックスをオンにすると、正規表現は最初に一致した値のみを抽出します。このチェックボックスをオフにすると、正規表現は一致するすべての値を抽出します。

  • 連結ルール

    抽出したデータの様々な部分を 1 つの値に連結する方法を指定できます(複合値の詳細を確認してください)。

    CyberTrace の正規表現とそのプロパティの設定。

    正規表現とそのプロパティの設定

イベントソースに指定した正規表現と一致する値を強調表示できます。強調表示したい正規表現を含むテキストボックスの内部をクリックします。

イベントフィルターの指定

Kaspersky CyberTrace から SIEM ソリューションに送信された検知イベントにフィルタリングルールを指定できます。Kaspersky CyberTrace が検知イベントを送信するのは、検知イベントを SIEM ソリューションに送信するためのフラグ(インジケーターデータベースの ioc_supplier_send_match イベント属性)が true に設定されており、インジケーターと一致するフィードレコードのすべてのフィールドがフィルタリング基準を満たしている場合に限ります。フィルタリングルールで指定されている属性が検知インジケーターにない場合に、このインジケーターはフィルタリング基準を満たしていると判断されます。ただし、すべての検知イベントが統計情報に含まれ、[Dashboard]タブと[Detections]タブに表示されます。

検知イベントにフィルターを指定するには:

  1. Field name]ドロップダウンリストで、フィルタリングルールが適用されるインジケーターデータベースのインジケーター属性名と一致する値を選択します(フィールド名に使用可能な値の詳細を確認してください)。[Condition]ドロップダウンリストで、フィルタリング条件を選択します。
  2. Value]テキストボックスで、フィルタリングの値を指定します。

    このテキストボックスでは、値の区切りにセミコロン(「;」)を使用しないでください。代わりに、[Condition]ドロップダウンリストで[value is one of (separated by a new line)]を選択し、改行文字(「\n」)を使用するか Enter を押して値を区切ります。この方法でないと、フィルターが正しく適用されません。

  3. 新しいイベントフィルターを追加する場合は、[Add new filter]をクリックします。

必要に応じて、フィルタリングルールを編集したり、削除したりできます。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。