Kaspersky CyberTrace サービスのログソースとしての追加

QRadar が、Kaspersky CyberTrace サービスから送信されたイベントを受信するには、Kaspersky CyberTrace サービスをログソースとして扱う必要があります。Kaspersky CyberTrace サービスから送信されたイベントは QRadar ログイベント拡張フォーマット(LEEF)形式で、QRadar の新しいログソースはユニバーサル LEEF ログソースになります。

Kaspersky CyberTrace サービスをログソースとして QRadar に追加するには:

  1. Admin]→[Log Sources]→[Add]の順にメニュー項目を選択します。
  2. Add a log source]ウィンドウで、ログソースの一意の名前を入力します。

    このソースからのすべてのイベントがこの名前で GUI に表示されます。

  3. ログソースの説明を入力します。
  4. Log Source Type]コントロールで[Universal LEEF]を選択します。
  5. Protocol Configuration]ドロップダウンリストで[Syslog]を選択します。
  6. Kaspersky CyberTrace サービス設定情報ファイル(この場合は KL_Threat_Feed_Service_v2)で設定した識別子を[Log Source Identifier]テキストボックスに入力します。この識別子は[EventFormat]パラメータと[AlertFormat]パラメータで使用されます。

    Coalescing Events]はオンにしないでください。オンにすると、Kaspersky CyberTrace サービスからのすべてのイベントが 1 つのイベントに結合されて、役立つ情報になりません。

    QRadar の[Add a log source]ウィンドウ。

    QRadar へのログソースの追加

  7. Save]をクリックします。

同じ操作を実行して、KL_Verification_Tool 識別子を持つ別のログソースを追加します。このログソースは、Kaspersky CyberTrace サービスと QRadar 間のやり取りのテストに使用されます。

2 つのログソースを追加したら、[Admin]→[Deploy Changes]の順にメニュー項目を選択します。

QRadar サーバーの 514 ポートでイベントを受信しない場合は、QRadar がインストールされているホストから次のコマンドを実行します。

QRadar コンソールのコマンドを実行し、5 分間待機します:

/opt/qradar/support/all_servers.sh -Ck 'if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi'

QRadar Community Edition のコマンドを実行し、5 分間待機します:

if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi

ページのトップに戻る