イベント形式パターンについて
2024年4月11日
ID 197106
形式とパターンを使用して、Kaspersky CyberTrace によって生成されるアラートに特定の情報を含めることができます。
形式は、アラートまたはパターンの形式を決定する文字列です。パターンは、形式の指定時に使用できる特別なワイルドカードです。パターンは、アラートの生成時に実際のデータによって置き換えられます。
アラートと検知について
Kaspersky CyberTrace によって生成されるアラートの 2 つのタイプに形式を指定できます:
- 検知アラート
これらは、検知された一致対象に関する情報とともにインジケーターを保持する送信アラートです。
検知アラートの形式の詳細は、次の「検知アラート形式」サブセクションを参照してください。
- サービスアラート
これらは、Kaspersky CyberTrace サービスの状態についてイベントターゲットソフトウェア(SIEM など)に通知する送信アラートです。
アラートの形式の詳細は、次の「サービスアラート形式」サブセクションを参照してください。
レコードコンテキスト形式
%RecordContext% 形式は、コンテキストフィールドをアラートに追加する必要がある方法を指定します。このパターンの形式は、[Records context format]フィールドで指定できます。
%RecordContext% 形式では、次のパターンを使用できます:
- %ParamName%
フィード内のフィールドの名前。
- %ParamValue%
フィールドの値。
%RecordContext% 形式は、検知イベントとアラートイベントの形式内で使用されます。
- 検知アラート
%RecordContext% パターンは、検知アラートに渡されるコンテキストフィールドの形式を決定します。
たとえば、%RecordContext% が
%ParamName%=%ParamValue%
である場合、「Ip
」および「Geo
」フィールドを持つフィードの場合、次の文字列を生成できます(2 つのフィールドのデータ間のスペース記号に注意してください):「Ip=192.0.2.100 Geo=ru,br,ua,cz,us
」 - サービスアラート
%RecordContext% パターンは、アラートイベントに渡されるコンテキストフィールドの形式を決定します。
これらのフィールドは、サービスアラートのタイプごとに固有のものです。たとえば、%RecordContext% が
%ParamName%=%ParamValue%
であり、フィードが更新されている場合、次の文字列を生成できます:「"feed=Phishing_URL_Data_Feed.json records=200473
」
入力可能フィールドコンテキスト形式
%ActionableFields% 形式は、入力可能フィールドをアラートに追加する必要がある方法を指定します。このパターンには、[Actionable fields context format]フィールドで別の形式を指定できます。
%ActionableFields% 形式では、以下のパターンを使用できます:
- %ParamName%
入力可能フィールドの名前。
- %ParamValue%
入力可能フィールドの値。
%ActionableFields% 形式は、検知アラートの形式内で使用されます。
%ActionableFields% パターンは、検知アラートに渡される入力可能フィールドの形式を決定します。
たとえば、%ActionableFields% が %ParamName%:%ParamValue%
であり、cn1
および cn2
フィールドがフィードに指定されている場合、次の文字列を生成できます:「cn1:Example Device cn2:Example Environment
」
サービスアラート形式
この形式は、[Alert events format]フィールドで指定できます。
この形式では、次のパターンを使用できます:
- %Alert%
- %Date%
Mon DD HH:MM:SS
形式の現在の日時。 - %RecordContext%
上記の「レコードコンテキスト形式」セクションで説明されているアラートのコンテキスト。
アラートイベント形式の例は、次の通りです:
%Date% alert=%Alert%%RecordContext% |
フィード更新アラートが生成される場合、上記の例では、次のアラートが生成されます:
Apr 16 09:05:41 alert=KL_ALERT_UpdatedFeed feed=Phishing_URL_Data_Feed.json records=200473 |
検知アラート形式
この形式は、[Detection events format]フィールドで指定できます。
この形式では、次のパターンを使用できます:
- %Category%
検知されたオブジェクトのカテゴリ。
- %Date%
Mon DD HH:MM:SS
形式の現在の日時。 - 正規表現名
このパターンは、正規表現の名前です。これは、正規表現と一致するイベントフィールドから抽出された値に置き換えられます。たとえば、正規表現の名前が
RE_URL
である場合、そのパターンは%RE_URL%
であり、生成されるアラートには、この正規表現と一致した値が保持されます。 - %MatchedIndicator%
イベントの原因となった検知されたインジケーター(URL、ハッシュ、または IP アドレス)。
- %SourceId%
イベントソース識別子。これは、[Matching]タブでイベントソースに指定した名前です。
事前設定されたイベントソースの識別子は、
Default
です。 - %Confidence%
信頼性のレベル。この値は、検知アラートで一致したインジケーターが含まれるフィードのインジケーターの信頼性値から採用されます。
- %IndicatorInfo%
検知したインジケーターに関する情報が含まれる Kaspersky CyberTrace Web ページへのリンク。
- %ActionableFields%
上記の「入力可能フィールドコンテキスト形式」セクションで説明されている入力可能フィールド。
- %RecordContext%
上記の「レコードコンテキスト形式」セクションで説明されているイベントのコンテキスト。
- %EventReceivedDate%
Kaspersky CyberTrace が SIEM ソリューションから検知イベントを受信した日時。
- %Retroscan%
レトロスキャンによって検知が行われたかどうかのサイン。
[OutputSettings
]→[EventFormat
]要素の例は、次の通りです:
%Date% event_name=%Category% source=%SourceId% matchedIndicator=%MatchedIndicator% url=%RE_URL% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME% indicatorInfo=%IndicatorInfo% confidence=%Confidence%%RecordContext% |
上記の形式では、次のアラートが生成されます:
Apr 16 09:05:41 eventName=KL_Malicious_Hash_MD5 source=ExampleSource matchedIndicator=C912705B4BBB14EC7E78FA8B370532C9 url=- src=192.0.2.4 ip=192.0.2.23 md5=C912705B4BBB14EC7E78FA8B370532C9 sha1=- sha256=- usrName=ExampleUser indicatorInfo=https://127.0.0.1/indicators?value=C912705B4BBB14EC7E78FA8B370532C9 confidence=100 MD5=C912705B4BBB14EC7E78FA8B370532C9 SHA1=8CBB395D31A711D683B1E36842AE851D5D000BAD SHA256=F6E62E9B3AF38A6BF331922B624844AAEB2D3658C4F0A54FA4651EAA6441C933 file_size=2989 first_seen=10.07.2016 23:53 last_seen=13.04.2020 08:08 popularity=1 threat=HEUR:Trojan.Win32.Generic |
ArcSight のパターン
Kaspersky CyberTrace サービスは、サービスアラートを CEF 形式で送信します。ArcSight のアラート形式は、CEF 形式の要件に適合する必要があります。
検知アラートの場合、次の形式を指定します:
|
一般的なパターンに加えて、ArcSight の検知アラート形式は、正規表現名による次のパターンを使用します:
%DST_IP%
—宛先 IP アドレス。%DeviceIp%
—イベントが発生したエンドポイントデバイスの IP アドレス。%RE_HASH%
—イベントに含まれるハッシュ。%RE_URL%
—イベントに含まれる URL。%Device%
—デバイスのベンダー。%Product%
—デバイス名。%UserName%
—エンドポイントデバイスでアクティブであったユーザーの名前。%Id%
—イベント識別子。
サービスアラートの場合、次の形式を指定します:
|
上記の形式では、4
(または 1
~ 10
の別の値)が、Kaspersky CyberTrace のアラートイベントのレベル(重大度)です。
RSA NetWitness のパターン
検知アラートとサービスアラート形式の値は、v20_cybertracemsg.xml ファイルに設定されている形式に対応している必要があります。これらの形式を変更する場合、それに応じて v20_cybertracemsg.xml ファイルを編集してください。
検知アラート形式の例は、次の通りです:
|
一般的なパターンに加えて、RSA Net Witness の検知アラート形式は、正規表現名によって参照される次の正規表現パターンを使用します:
%RE_URL%
—イベントに含まれる URL。%RE_HASH%
—イベントに含まれるハッシュ。%DST_IP%
—宛先 IP アドレス。%SRC_IP%
—ソース IP アドレス。%DeviceIp%
—イベントが発生したエンドポイントデバイスの IP アドレス。%Device%
—デバイスのベンダー。%DeviceAction%
—デバイスが実行した動作。%UserName%
—エンドポイントデバイスでアクティブであったユーザーの名前。