AlienVault USM / OSSIM から Kaspersky CyberTrace へのイベントの転送

このセクションでは、イベントを Kaspersky CyberTrace に転送するように AlienVault USM / OSSIM を構成する方法について説明します。

イベントを Kaspersky CyberTrace に転送するように AlienVault USM / OSSIM を構成するには：

1. Kaspersky CyberTrace へのイベントの転送元となるデバイスごとに、次のルールを /etc/rsyslog.confファイルに追加します：

   if ($fromhost-ip == '%DEVICE_IP%') then {action (type="omfwd" Target="%CyberTrace_IP_IN%" Port="%CyberTrace_PORT_IN%" Protocol="tcp" Device="%INTERFACE%") action (type="omfile" File="%PATH%")}

   ここで：

   • %CyberTrace_IP_IN%—Kaspersky CyberTrace が実行されているコンピューターの IP アドレス。
   • %CyberTrace_PORT_IN%—Kaspersky CyberTrace が受信イベントをリッスンするポート。
   • %INTERFACE%—AlienVault USM / OSSIM が実行されているコンピューターのネットワークインターフェイスの名前。イベントを Kaspersky CyberTrace に転送するために使用されます。

     例：eth0。

   • %DEVICE_IP%—AlienVault USM/OSSIM に到着し、Kaspersky CyberTrace に転送する必要があるイベントのソースデバイスの IP アドレス。
   • action (type="omfile" File="%PATH%")—Kaspersky CyberTrace に転送されるイベントを AlienVault USM / OSSIM に保存するための rsyslog サービスへの指示。

     %PATH%—イベントが保存されるファイルへのパス。%PATH% には、転送されたイベントを保存する任意のファイルを指定できます。

     action (type="omfile" File="%PATH%")—オプション。連携プロセスでこのコマンドを指定すると、次のことを確認できます：

     • イベントが Kaspersky CyberTrace に転送されること
     • Kaspersky CyberTrace に転送されるイベントのリスト

     連携プロセスが完了したら、この行を設定情報ファイルから削除することを推奨します。

   このルールは、テキスト # rsyslog zasec.conf の後に追加する必要があります。このテキストが設定情報ファイルに存在しない場合は、次の行の前にルールを追加します：

   if not ($fromhost-ip == '127.0.0.1') then -/var/log/ossim/asec_unk.log

   if not ($fromhost-ip == '127.0.0.1') then ~

2. 次のコマンドを実行して、rsyslog サービスを再起動します：

   /etc/init.d/rsyslog restart