ステップ 3：ArcSight との対話のための Kaspersky CyberTrace の設定

このセクションでは、通常の稼働中に ArcSight と対話するように Kaspersky CyberTrace を設定する方法について説明します。

ArcSight と対話するように Kaspersky CyberTrace を設定するには：

1. Kaspersky CyberTrace Web を開きます。
2. ［Settings］→［General］ページに移動します。
3. Incoming events［Listen on］セクションで、Kaspersky CyberTrace Service が受信イベントをリッスンする IP アドレスとポートを選択します。IP アドレスとポートは、ArcSight Forwarding Connector のインストール時に設定されます（既定値は 127.0.0.1:9999）。
4. SettingsEvent sources［Settings］ →［Event sources］ページに移動します。
5. EditDefaultDefault イベントソースに隣接する （編集）をクリックします。
6. ［Normalization rules］タブで次を実行します：
   • ［To replace］フィールドに文字シーケンス「\=」を入力します
   • ［Replace with］フィールドに文字「=」を入力します

   変更を行った後、［Normalization rules］タブは次のようになります：

   

   ［Normalization rules］タブ

7. ［Regular expressions］タブを選択します。このタブには、URL （プロトコル付き）、ハッシュ、IP アドレス（src と dst）、デバイス名、ベンダー名、デバイス IP アドレス、ユーザー名、イベント ID に一致する汎用の正規表現があります。イベントに一致するようにこれらの正規表現を変更します。
8. ［Edit event source "{{sourceId}}"］ウィンドウを閉じます。
9. ［Settings］→［Service alerts］ページの［Format of service alerts］フィールドに、次の文字列を入力します：

   CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext%

10. ［Settings］→［Detection alerts］ページの［Alert format］フィールドに、次の文字列を指定します：

    CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cn3Label=Confidence cn3=%Confidence% cs6Label=Context cs6=%RecordContext%

ArcSight および入力可能フィールド

Kaspersky Data Feeds では、入力可能フィールドが使用されます。入力可能フィールドを［Settings］→［Feeds］タブで確認できます。

• Demo Botnet C&C URL Data Feed と Botnet C&C URL Data Feed：

  フィールド名	出力	CEF フィールド
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat	cs3	deviceCustomString3
  urls/url	cs4	deviceCustomString4
  whois/domain	cs2	deviceCustomString2

• Demo Malicious Hash Data Feed と Malicious Hash Data Feed：

  フィールド名	出力	CEF フィールド
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat	cs3	deviceCustomString3
  urls/url	cs4	deviceCustomString4
  file_size	fsize	file_size

• Demo IP Reputation Feed と IP Reputation Data Feed：

  フィールド名	出力	CEF フィールド
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat_score	cn1	deviceCustomNumber1
  domains	cs2	deviceCustomString2
  urls/url	cs4	deviceCustomString4
  files/threat	cs3	deviceCustomString3

• Malicious URL Data Feed：

  フィールド名	出力	CEF フィールド
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  files/threat	cs3	deviceCustomString3
  category	cs4	deviceCustomString4
  whois/domain	cs2	deviceCustomString2

• Mobile Malicious Hash Data Feed：

  フィールド名	出力	CEF フィールド
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat	cs3	deviceCustomString3
  file_size	fsize	file_size

• Phishing URL Data Feed：

  フィールド名	出力	CEF フィールド
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  industry	deviceFacility	deviceFacility
  whois/domain	cs2	deviceCustomString2

• Mobile Botnet Data Feed：

  フィールド名	出力	CEF フィールド
  threat	cs3	deviceCustomString3

• APT URL Data Feed：

  フィールド名	出力	CEF フィールド
  detection_date	flexString1	flexString1
  publication_name	cs3	deviceCustomString3

• APT IP Data Feed：

  フィールド名	出力	CEF フィールド
  detection_date	flexString1	flexString1
  publication_name	cs3	deviceCustomString3

• APT Hash Data Feed：

  フィールド名	出力	CEF フィールド
  detection_date	flexString1	flexString1
  publication_name	cs3	deviceCustomString3

• IoT URL Data Feed：

  フィールド名	出力	CEF フィールド
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  files/threat	cs3	deviceCustomString3

Kaspersky Data Feeds からの情報が入力された ArcSight フィールドの消去

Kaspersky Data Feeds 以外からの情報のデータに CEF フィールドを使用する場合は、このフィールドを消去する必要があります。

CEF フィールドを消去するには：

1. Kaspersky CyberTrace Web の［Settings］タブを選択します。
2. ［Feeds］ページに移動します。
3. Kaspersky［Kaspersky］タブが選択されていることを確認し、クリアしたいフィールドが含まれる Kaspersky Threat Data Feed をクリックします。
4. ［Actionable fields］セクションで、消去する CEF フィールドの名前を含んだOutput field nameを見つけます。
5. 前のステップで見つけたOutput field nameに隣接する削除アイコン（）をクリックします。

ページのトップに戻る