ステップ 1:ARB パッケージのインポート
このセクションでは、ARB パッケージを ArcSight にインポートする方法を説明します。
ARB パッケージには、サービスを ArcSight と連携するために必要なオブジェクト(アクティブチャネル、ダッシュボード、フィールドセット、レポート、ルール、フィルター、ユーザー)が含まれます。このファイルをインポートすると、これらのオブジェクトが ArcSight に作成されます。
ARB パッケージをインポートするには:
- ArcSight Console を実行します。
- [Navigator]ペイン(ツリービュー)で、[Packages]タブを選択します。
- [Import]をクリックします。
ArcSight パッケージ
- [Open]ウィンドウで、配布キットのディレクトリ
/integration/arcsight/にあるファイル Kaspersky_CyberTrace_Connector.arb を選択します。![ArcSight の[Open]ウィンドウ。](arb_selection.jpg)
ARB ファイルの選択
インポートプロセスが実行されます。
![ArcSight の[Installing Packages Completed]ウィンドウ。](arb_complete.jpg)
ARB のインポートの完了
すべてのオブジェクトが ARB ファイルから ArcSight にインポートされた後は、インポートされたルールはすべてリアルタイムルールです。つまり、これらのルールはリアルタイムで適用されます。
リアルタイムルールのリストを参照および管理するには:
- ツリービューで[Resources]タブをクリックします。
- [Active Channels]ドロップダウンリストを開き、[Rules]を選択します。
- ツリーで[Rules]→[Shared]→[All Rules]→[Real-time Rules]の順に選択します。
![ArcSight の[Real-time Rules]。](realtime_rules.jpg)
リアルタイムルール
- [Real-time Rules]を展開し、不要なネストされた項目をそこから削除します。
ARB パッケージのインポート後、新しいオブジェクトが ArcSight に作成されます。
- ツリービューで[Active Channels]が選択された場合、以下のオブジェクトが[Active Channels]→[Shared]→[All Active Channels]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
オブジェクト
説明
既定の状態
CyberTrace alerts
Kaspersky CyberTrace からのサービスアラートをリアルタイムで表示します。
オン
CyberTrace all matches
Kaspersky CyberTrace からの検知アラートをリアルタイムで表示します。
オン
CyberTrace hash matches
Kaspersky CyberTrace からのハッシュ検知アラートをリアルタイムで表示します。
オフ
CyberTrace URL matches
Kaspersky CyberTrace からの URL 検知アラートをリアルタイムで表示します。
オフ
CyberTrace IP matches
Kaspersky CyberTrace から IP 検知アラートをリアルタイムで表示します。
オフ
- ツリービューで[Dashboards]が選択された場合、以下のオブジェクトが[Dashboards]→[Shared]→[All Dashboards]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
オブジェクト
説明
既定の状態
CyberTrace detection map
悪意のある URL、IP アドレス、またはハッシュを含むイベントを送信したすべてのデバイスを表示します。検知プロセスに関わったすべてのフィードを表示します。
オフ
CyberTrace match statistics
検知統計情報:特定のカテゴリの検知されたオブジェクト数を表示します。
オン
CyberTrace TOP 10 matched indicators
検知された上位 10 個のインジケーターです。
オフ
ArcSight に過負荷をかけないよう、[
CyberTrace detection map]および[CyberTrace Top 10 matched indicators]ダッシュボードは既定ではオフになっています。これらのダッシュボードは必要に応じてオンにできます。 - ツリービューで[Field Sets]が選択された場合、以下のオブジェクトが[Field Sets]→[Shared]→[All Field Sets]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
オブジェクト
説明
既定の状態
CyberTrace alerts
Kaspersky CyberTrace からのサービスアラートのフィールドを表示します。
静的
CyberTrace all matches
Kaspersky CyberTrace からの検知アラートのフィールドを表示します。
静的
CyberTrace matched hashes
Kaspersky CyberTrace からのハッシュ検知アラートのフィールドを表示します。
静的
CyberTrace matched URLs
Kaspersky CyberTrace からの URL 検知アラートのフィールドを表示します。
静的
CyberTrace matched IPs
Kaspersky CyberTrace からの IP アドレス検知アラートのフィールドを表示します。
静的
- ツリービューで[Reports]が選択された場合、以下のオブジェクトが[Reports]→[Shared]→[All Reports]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
- ツリービューで[Rules]が選択された場合、以下のオブジェクトが[Rules]→[Shared]→[All Rules]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
オブジェクト
説明
既定の状態
CyberTrace_HighThreatScoreIP
Kaspersky CyberTrace からの高深刻度レベルの割り当てと高優先度の IP 検知アラートの保管に関するルール。
オン
CyberTrace_MediumThreatScoreIP
Kaspersky CyberTrace からの中程度の深刻度レベルの割り当てと中程度の優先度の IP 検知アラートの保保管に関するルール。
オン
CyberTrace_LowThreatScoreIP
Kaspersky CyberTrace からの低深刻レベルの割り当てと低優先度の IP 検知アラートを割り当てて保管するルール。
オン
- ツリービューで[Filters]が選択された場合、以下のオブジェクトが[Filters]→[Shared]→[All Filters]→[Public]→[Kaspersky CyberTrace Connector]のロケーションにあります:
オブジェクト
説明
既定の状態
CyberTrace all matches
Kaspersky CyberTrace が送信した検知アラートを選択するためのフィルター。
静的
CyberTrace forwarding events
URL、IP アドレス、またはハッシュを含むイベントを Kaspersky CyberTrace に転送するためのフィルター。
静的
CyberTrace matched hashes
Kaspersky CyberTrace が送信したハッシュ検知アラートを選択するためのフィルター。
静的
CyberTrace matched URLs
Kaspersky CyberTrace が送信した URL 検知アラートを選択するためのフィルター。
静的
CyberTrace matched IPs
Kaspersky CyberTrace が送信した IP 検知アラートを選択するためのフィルター。
静的
- ツリービューで[Users]が選択された場合、以下のオブジェクトが[Users]→[Shared]→[Custom User Groups]→[Kaspersky CyberTrace Connector]のロケーションにあります:
オブジェクト
説明
既定の状態
FwdCyberTrace
ArcSight のイベント転送を設定するために使用されるアカウント。
静的
インポートが終了したら、FwdCyberTrace ユーザーが作成されていることを確認します。チェックするには、ArcSight Console で[Users]→[Shared]→[Custom User Groups]→[Kaspersky CyberTrace Connector]の順に移動します。[FwdCyberTrace]ユーザーが存在しない場合は、手動で作成します。