McAfee Enterprise Security Manager での Kaspersky CyberTrace サービスイベントの解析

このセクションでは、次の形式の Kaspersky CyberTrace サービスイベントを解析する方法について説明します：

Kaspersky CyberTrace Service Event| date=%Date% alert=%Alert% msg:%RecordContext%

サービスイベントの形式を変更する場合は、McAfee Enterprise Security Manager で解析サービスイベントルールを変更する必要があることに注意してください。

サービスイベントを解析するには、［Advanced Syslog Parser Rule］ダイアログボックスに次のデータを入力します：

1. McAfee Enterprise Security Manager のメインウィンドウで、［Configuration］をクリックします。
2. ［Physical Display］ツリーで、受信側デバイスを選択し、［Add Data Source］をクリックします。

   

   データソースの追加

   ［Add Data Source］ダイアログボックスが表示されます。

3. ［Add Data Source］ダイアログボックスで、次のデータを入力します：
   • Data Source Vendor：Generic
   • Data Source Model：Advanced Syslog Parser
   • Data Format：Default
   • Data Retrieval：SYSLOG (Default)
   • Enabled：Parsing
   • Name：Kaspersky CyberTrace
   • IP：Kaspersky CyberTrace のイベントの送信元となるコンピューターの IP アドレス
   • Syslog Relay：None
   • Mask：0
   • Require syslog TLS：オフ
   • Port：514
   • Support Generic Syslogs：Log "unknown syslog" event

     McAfee Enterprise Security Manager は、Kaspersky CyberTrace からのすべてのイベントを受信します。McAfee Enterprise Security Manager がイベントを解析できない場合、イベントは不明として表示されます。

   • Time Zone：必要なタイムゾーンを選択します
   • Encoding：None

   

   データソースの構成

4. （オプション）［Advanced ］をクリックして、［Advanced options］ダイアログボックスでデータソースのパラメーターを指定します。
5. ［OK］をクリックします。

   McAfee ESM は、設定済みのポリシーをロールアウトすることを推奨します。

   

   ［Rollout］ダイアログボックス

6. ［Kaspersky CyberTrace］を選択し、［Policy Editor］ツールバーボタンをクリックします。

   

   ポリシーエディタの選択

7. ［Policy Editor］ウィンドウで、［Advanced Syslog Parser Rules］というルールの種別を選択します。
8. ［New］→［Advanced Syslog Parser Rule］の順にクリックします。

   

   ［Policy Editor］ウィンドウ

9. フィード更新イベントを解析するためのパーサーを作成するには、［Advanced Syslog Parser Rule］ダイアログボックスに次のデータを入力します：
   • ［General ］タブで、次のデータを入力します：
     • Name：Kaspersky_CyberTrace_ServiceEvent
     • Tags：ルールを定義するタグ（つまり、イベントのフィルタリング中に使用されるタグ）を選択します。
     • Rule Assignment Type：［User Defined 1］または別のユーザー定義の種別
     • Description：The Kaspersky Lab CyberTrace service event
   • ［Parsing］タブで、次のデータを入力します：
     • Provide content strings：Kaspersky CyberTrace Service Event
     • Sample Log Data：フィード更新イベントの例を指定します。次に例を示します（改行記号を使用せずに 1 行で）：

       Kaspersky CyberTrace Service Event| date=Apr 17 19:08:28 alert=KL_ALERT_UpdatedFeed msg:feed=Demo_Botnet_CnC_URL_Data_Feed.json records=3907

     • ［Parsing］タブに次の正規表現を追加します：

   Name	Regular Expression
   ct_service_name	alert\=(\S+)(?=\s)
   ct_context	(msg.*)(?=$)
   ct_date	date\=(\S+\s\d+\s\S+)

   

   ［Parsing］タブ

   • ［Field Assignment］タブで、次のデータを入力します：

   Field	Expression
   Action	"0"
   Description	［ct_context］をこのフィールドにドラッグします
   Severity	"60" または選択した別の値
   Return_Code	［ct_service_name］をこのフィールドにドラッグします
   First Time	［ct_date］をこのフィールドにドラッグします

   

   ［Field Assignment］タブ

   ［+］をクリックすると、ここに他のフィールドを追加できます。

   • ［Mapping］タブで、次のデータを入力します：
     • 時間データテーブルでは次のように入力します：

   Time Format	Time Fields
   %b %d %H:%M:%S	First time

   • アクションテーブルでは次のように入力します：

   Action Key	Action Value
   0	Success

   • 重大度テーブルでは次のように入力します：

   Severity Key	Severity Value
   60	60

   

   ［Mapping］タブ

10. ［Finish］をクリックしてポリシーを保存します。
11. ［Default Policy］リストで、 Kaspersky CyberTrace デバイスを選択し、Kaspersky_Cyber​​Trace_ServiceEvent ルールを有効にします。

    

    ルールの有効化

12. ［File］→［Save］の順に選択して現在の状態を保存します。
13. ［Operations］→［Rollout］の順に選択して、ポリシーをロールアウトします。

    

    ポリシーのロールアウト

14. 入力を促されたら、McAfee ESM で Kaspersky CyberTrace デバイスを再初期化することに同意します。
15. ［Operations］→［Modify Aggregation Settings］メニュー項目を選択して、Kaspersky CyberTrace サービスイベントの集約ルールを変更します。
16. ［Modify Aggregation Settings］の［Field 2］に値［R​​eturn_Code］を設定し、［OK］をクリックします。

    

    Modify Aggregation Settings

17. ロールアウトのリクエストを確定します。