AlienVault USM / OSSIM から Kaspersky CyberTrace へのイベントの転送
2024年4月11日
ID 183921
このセクションでは、イベントを Kaspersky CyberTrace に転送するように AlienVault USM / OSSIM を構成する方法について説明します。
イベントを Kaspersky CyberTrace に転送するように AlienVault USM / OSSIM を構成するには:
- Kaspersky CyberTrace へのイベントの転送元となるデバイスごとに、次のルールを
/etc/rsyslog.conf
ファイルに追加します:if ($fromhost-ip == '%DEVICE_IP%') then {action (type="omfwd" Target="%CyberTrace_IP_IN%" Port="%CyberTrace_PORT_IN%" Protocol="tcp" Device="%INTERFACE%") action (type="omfile" File="%PATH%")}
ここで:
%CyberTrace_IP_IN%
—Kaspersky CyberTrace が実行されているコンピューターの IP アドレス。%CyberTrace_PORT_IN%
—Kaspersky CyberTrace が受信イベントをリッスンするポート。%INTERFACE%
—AlienVault USM / OSSIM が実行されているコンピューターのネットワークインターフェイスの名前。イベントを Kaspersky CyberTrace に転送するために使用されます。例:
eth0
。%DEVICE_IP%
—AlienVault USM/OSSIM に到着し、Kaspersky CyberTrace に転送する必要があるイベントのソースデバイスの IP アドレス。action (type="omfile" File="%PATH%")
—Kaspersky CyberTrace に転送されるイベントを AlienVault USM / OSSIM に保存するための rsyslog サービスへの指示。%PATH%
—イベントが保存されるファイルへのパス。%PATH%
には、転送されたイベントを保存する任意のファイルを指定できます。action (type="omfile" File="%PATH%")
—オプション。連携プロセスでこのコマンドを指定すると、次のことを確認できます:- イベントが Kaspersky CyberTrace に転送されること
- Kaspersky CyberTrace に転送されるイベントのリスト
連携プロセスが完了したら、この行を設定情報ファイルから削除することを推奨します。
このルールは、テキスト
# rsyslog zasec.conf
の後に追加する必要があります。このテキストが設定情報ファイルに存在しない場合は、次の行の前にルールを追加します:if not ($fromhost-ip == '127.0.0.1') then -/var/log/ossim/asec_unk.log
if not ($fromhost-ip == '127.0.0.1') then ~
- 次のコマンドを実行して、rsyslog サービスを再起動します:
/etc/init.d/rsyslog restart