McAfee Enterprise Security Manager での Kaspersky CyberTrace サービスイベントの解析
2024年4月11日
ID 183379
このセクションでは、次の形式の Kaspersky CyberTrace サービスイベントを解析する方法について説明します:
Kaspersky CyberTrace Service Event| date=%Date% alert=%Alert% msg:%RecordContext%
サービスイベントの形式を変更する場合は、McAfee Enterprise Security Manager で解析サービスイベントルールを変更する必要があることに注意してください。
サービスイベントを解析するには、[Advanced Syslog Parser Rule]ダイアログボックスに次のデータを入力します:
- McAfee Enterprise Security Manager のメインウィンドウで、[Configuration]をクリックします。
- [Physical Display]ツリーで、受信側デバイスを選択し、[Add Data Source]をクリックします。
データソースの追加
[Add Data Source]ダイアログボックスが表示されます。
- [Add Data Source]ダイアログボックスで、次のデータを入力します:
- Data Source Vendor:Generic
- Data Source Model:Advanced Syslog Parser
- Data Format:Default
- Data Retrieval:SYSLOG (Default)
- Enabled:Parsing
- Name:Kaspersky CyberTrace
- IP:Kaspersky CyberTrace のイベントの送信元となるコンピューターの IP アドレス
- Syslog Relay:None
- Mask:0
- Require syslog TLS:オフ
- Port:514
- Support Generic Syslogs:Log "unknown syslog" event
McAfee Enterprise Security Manager は、Kaspersky CyberTrace からのすべてのイベントを受信します。McAfee Enterprise Security Manager がイベントを解析できない場合、イベントは不明として表示されます。
- Time Zone:必要なタイムゾーンを選択します
- Encoding:None
データソースの構成
- (オプション)[Advanced ]をクリックして、[Advanced options]ダイアログボックスでデータソースのパラメーターを指定します。
- [OK]をクリックします。
McAfee ESM は、設定済みのポリシーをロールアウトすることを推奨します。
[Rollout]ダイアログボックス
- [Kaspersky CyberTrace]を選択し、[Policy Editor]ツールバーボタンをクリックします。
ポリシーエディタの選択
- [Policy Editor]ウィンドウで、[Advanced Syslog Parser Rules]というルールの種別を選択します。
- [New]→[Advanced Syslog Parser Rule]の順にクリックします。
[Policy Editor]ウィンドウ
- フィード更新イベントを解析するためのパーサーを作成するには、[Advanced Syslog Parser Rule]ダイアログボックスに次のデータを入力します:
- [General ]タブで、次のデータを入力します:
- Name:
Kaspersky_CyberTrace_ServiceEvent
- Tags:ルールを定義するタグ(つまり、イベントのフィルタリング中に使用されるタグ)を選択します。
- Rule Assignment Type:[User Defined 1]または別のユーザー定義の種別
- Description:The Kaspersky Lab CyberTrace service event
- Name:
- [Parsing]タブで、次のデータを入力します:
- Provide content strings:Kaspersky CyberTrace Service Event
- Sample Log Data:フィード更新イベントの例を指定します。次に例を示します(改行記号を使用せずに 1 行で):
Kaspersky CyberTrace Service Event| date=Apr 17 19:08:28 alert=KL_ALERT_UpdatedFeed msg:feed=Demo_Botnet_CnC_URL_Data_Feed.json records=3907
- [Parsing]タブに次の正規表現を追加します:
Name
Regular Expression
ct_service_name
alert\=(\S+)(?=\s)
ct_context
(msg.*)(?=$)
ct_date
date\=(\S+\s\d+\s\S+)
[Parsing]タブ
- [Field Assignment]タブで、次のデータを入力します:
Field
Expression
Action
"0"
Description
[
ct_context
]をこのフィールドにドラッグしますSeverity
"60"
または選択した別の値Return_Code
[
ct_service_name
]をこのフィールドにドラッグしますFirst Time
[
ct_date
]をこのフィールドにドラッグします[Field Assignment]タブ
[+]をクリックすると、ここに他のフィールドを追加できます。
- [Mapping]タブで、次のデータを入力します:
- 時間データテーブルでは次のように入力します:
Time Format
Time Fields
%b %d %H:%M:%S
First time
- アクションテーブルでは次のように入力します:
Action Key
Action Value
0
Success
- 重大度テーブルでは次のように入力します:
Severity Key
Severity Value
60
60
[Mapping]タブ
- [General ]タブで、次のデータを入力します:
- [Finish]をクリックしてポリシーを保存します。
- [Default Policy]リストで、
Kaspersky CyberTrace
デバイスを選択し、Kaspersky_CyberTrace_ServiceEvent
ルールを有効にします。ルールの有効化
- [File]→[Save]の順に選択して現在の状態を保存します。
- [Operations]→[Rollout]の順に選択して、ポリシーをロールアウトします。
ポリシーのロールアウト
- 入力を促されたら、McAfee ESM で
Kaspersky CyberTrace
デバイスを再初期化することに同意します。 - [Operations]→[Modify Aggregation Settings]メニュー項目を選択して、Kaspersky CyberTrace サービスイベントの集約ルールを変更します。
- [Modify Aggregation Settings]の[
Field 2
]に値[Return_Code
]を設定し、[OK]をクリックします。Modify Aggregation Settings
- ロールアウトのリクエストを確定します。