イベント形式パターンについて

形式とパターンを使用して、Kaspersky CyberTrace によって生成されるアラートに特定の情報を含めることができます。

形式は、アラートまたはパターンの形式を決定する文字列です。パターンは、形式の指定時に使用できる特別なワイルドカードです。パターンは、アラートの生成時に実際のデータによって置き換えられます。

アラートと検知について

Kaspersky CyberTrace によって生成されるアラートの 2 つのタイプに形式を指定できます：

• 検知アラート

  これらは、検知された一致対象に関する情報とともにインジケーターを保持する送信アラートです。

  検知アラートの形式の詳細は、次の「検知アラート形式」サブセクションを参照してください。

• サービスアラート

  これらは、Kaspersky CyberTrace サービスの状態についてイベントターゲットソフトウェア（SIEM など）に通知する送信アラートです。

  アラートの形式の詳細は、次の「サービスアラート形式」サブセクションを参照してください。

レコードコンテキスト形式

%RecordContext% 形式は、コンテキストフィールドをアラートに追加する必要がある方法を指定します。このパターンの形式は、［Records context format］フィールドで指定できます。

%RecordContext% 形式では、次のパターンを使用できます：

• %ParamName%

  フィード内のフィールドの名前。

• %ParamValue%

  フィールドの値。

%RecordContext% 形式は、検知イベントとアラートイベントの形式内で使用されます。

• 検知アラート

  %RecordContext% パターンは、検知アラートに渡されるコンテキストフィールドの形式を決定します。

  たとえば、%RecordContext% が %ParamName%=%ParamValue% である場合、「Ip」および「Geo」フィールドを持つフィードの場合、次の文字列を生成できます（2 つのフィールドのデータ間のスペース記号に注意してください）：「Ip=192.0.2.100 Geo=ru,br,ua,cz,us」

• サービスアラート

  %RecordContext% パターンは、アラートイベントに渡されるコンテキストフィールドの形式を決定します。

  これらのフィールドは、サービスアラートのタイプごとに固有のものです。たとえば、%RecordContext% が %ParamName%=%ParamValue% であり、フィードが更新されている場合、次の文字列を生成できます：「"feed=Phishing_URL_Data_Feed.json records=200473」

入力可能フィールドコンテキスト形式

%ActionableFields% 形式は、入力可能フィールドをアラートに追加する必要がある方法を指定します。このパターンには、［Actionable fields context format］フィールドで別の形式を指定できます。

%ActionableFields% 形式では、以下のパターンを使用できます：

• %ParamName%

  入力可能フィールドの名前。

• %ParamValue%

  入力可能フィールドの値。

%ActionableFields% 形式は、検知アラートの形式内で使用されます。

%ActionableFields% パターンは、検知アラートに渡される入力可能フィールドの形式を決定します。

たとえば、%ActionableFields% が %ParamName%:%ParamValue% であり、cn1 および cn2 フィールドがフィードに指定されている場合、次の文字列を生成できます：「cn1:Example Device cn2:Example Environment」

サービスアラート形式

この形式は、［Alert events format］フィールドで指定できます。

この形式では、次のパターンを使用できます：

• %Alert%

  イベントのタイプ。

• %Date%

  Mon DD HH:MM:SS 形式の現在の日時。

• %RecordContext%

  上記の「レコードコンテキスト形式」セクションで説明されているアラートのコンテキスト。

アラートイベント形式の例は、次の通りです：

フィード更新アラートが生成される場合、上記の例では、次のアラートが生成されます：

検知アラート形式

この形式は、［Detection events format］フィールドで指定できます。

この形式では、次のパターンを使用できます：

• %Category%

  検知されたオブジェクトのカテゴリ。

• %Date%

  Mon DD HH:MM:SS 形式の現在の日時。

• 正規表現名

  このパターンは、正規表現の名前です。これは、正規表現と一致するイベントフィールドから抽出された値に置き換えられます。たとえば、正規表現の名前が RE_URL である場合、そのパターンは %RE_URL% であり、生成されるアラートには、この正規表現と一致した値が保持されます。

• %MatchedIndicator%

  イベントの原因となった検知されたインジケーター（URL、ハッシュ、または IP アドレス）。

• %SourceId%

  イベントソース識別子。これは、［Matching］タブでイベントソースに指定した名前です。

  事前設定されたイベントソースの識別子は、Default です。

• %Confidence%

  信頼性のレベル。この値は、検知アラートで一致したインジケーターが含まれるフィードのインジケーターの信頼性値から採用されます。

• %IndicatorInfo%

  検知したインジケーターに関する情報が含まれる Kaspersky CyberTrace Web ページへのリンク。

• %ActionableFields%

  上記の「入力可能フィールドコンテキスト形式」セクションで説明されている入力可能フィールド。

• %RecordContext%

  上記の「レコードコンテキスト形式」セクションで説明されているイベントのコンテキスト。

• %EventReceivedDate%

  Kaspersky CyberTrace が SIEM ソリューションから検知イベントを受信した日時。

• %Retroscan%

  レトロスキャンによって検知が行われたかどうかのサイン。

［OutputSettings］→［EventFormat］要素の例は、次の通りです：

上記の形式では、次のアラートが生成されます：

ArcSight のパターン

Kaspersky CyberTrace サービスは、サービスアラートを CEF 形式で送信します。ArcSight のアラート形式は、CEF 形式の要件に適合する必要があります。

検知アラートの場合、次の形式を指定します：

一般的なパターンに加えて、ArcSight の検知アラート形式は、正規表現名による次のパターンを使用します：

• %DST_IP%—宛先 IP アドレス。
• %DeviceIp%—イベントが発生したエンドポイントデバイスの IP アドレス。
• %RE_HASH%—イベントに含まれるハッシュ。
• %RE_URL%—イベントに含まれる URL。
• %Device%—デバイスのベンダー。
• %Product%—デバイス名。
• %UserName%—エンドポイントデバイスでアクティブであったユーザーの名前。
• %Id%—イベント識別子。

サービスアラートの場合、次の形式を指定します：

上記の形式では、4（または 1 ～ 10 の別の値）が、Kaspersky CyberTrace のアラートイベントのレベル（重大度）です。

RSA NetWitness のパターン

検知アラートとサービスアラート形式の値は、v20_cybertracemsg.xml ファイルに設定されている形式に対応している必要があります。これらの形式を変更する場合、それに応じて v20_cybertracemsg.xml ファイルを編集してください。

検知アラート形式の例は、次の通りです：

一般的なパターンに加えて、RSA Net Witness の検知アラート形式は、正規表現名によって参照される次の正規表現パターンを使用します：

• %RE_URL%—イベントに含まれる URL。
• %RE_HASH%—イベントに含まれるハッシュ。
• %DST_IP%—宛先 IP アドレス。
• %SRC_IP%—ソース IP アドレス。
• %DeviceIp%—イベントが発生したエンドポイントデバイスの IP アドレス。
• %Device%—デバイスのベンダー。
• %DeviceAction%—デバイスが実行した動作。
• %UserName%—エンドポイントデバイスでアクティブであったユーザーの名前。