ステップ 6:CyberTrace イベントの検索フィルターの作成
ステップ 6:CyberTrace イベントの検索フィルターの作成
2024年4月11日
ID 197061
このセクションでは、イベント検索を作成する方法について説明します。
イベント検索を作成するには:
- ウィンドウの右上領域の[Pause]()をクリックして、イベントフローを停止します。
- QRadar Console で[Log Activity]タブを選択します。
- [Search]→[New Search]の順に選択します。
New Search
- [Column Definition]フォームで、[
MD5 (custom)
]、[SHA1 (custom)
]、[SHA256 (custom)
]、[URL (custom)
]、[IP (custom)
]を[Available Columns]から[Columns]リストに追加します。列の定義
- ページをスクロールダウンして、[Search Parameters]フォームで[
KL_Threat_Feed_Service_v2
]をログソースとして次のように設定します:- [Parameter]ドロップダウンリストで、[
Log Source [Indexed]
]を選択します。 - [Operator]ドロップダウンリストで、[
Equals
]を選択します。 - [Log Source]リストで、[
KL_Threat_Feed_Service_v2
]を選択します。選択した[
KL_Threat_Feed_Service_v2
]はログソース名であり、Kaspersky CyberTrace サービス設定情報ファイルの[OutputSettings
]→[EventFormat
]要素および[OutputSettings
]→[AlertFormat
]要素で設定されています(Kaspersky CyberTrace Web を使用して設定することもできます)。 - [Add Filter]をクリックします。
「
Log Source is KL_Threat_Feed_Service_v2
」文字列が[Current Filters]リストに追加されます。
ログソースの設定
- [Parameter]ドロップダウンリストで、[
- [Search]をクリックして、検索結果を表示します。
- [Save Criteria]をクリックします。
[Save Criteria]ボタン
- [Save Criteria]フォームで、検索の名前を[Search Name]テキストボックスに入力し、[Include in my Quick Searches]をオンにして、作成した検索の分析間隔を指定します(たとえば、[Real Time])。
- [OK]をクリックします。
基準の保存
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。