McAfee Enterprise Security Manager での Kaspersky CyberTrace サービスイベントの解析
このセクションでは、次の形式の Kaspersky CyberTrace サービスイベントを解析する方法について説明します:
Kaspersky CyberTrace Service Event| date=%Date% alert=%Alert% msg:%RecordContext%
サービスイベントの形式を変更する場合は、McAfee Enterprise Security Manager で解析サービスイベントルールを変更する必要があることに注意してください。
サービスイベントを解析するには、[Advanced Syslog Parser Rule]ダイアログボックスに次のデータを入力します:
- McAfee Enterprise Security Manager のメインウィンドウで、[Configuration]をクリックします。
- [Physical Display]ツリーで、受信側デバイスを選択し、[Add Data Source]をクリックします。
![McAfee の[Add Data Source]。](adding_a_data_source10.png)
データソースの追加
[Add Data Source]ダイアログボックスが表示されます。
- [Add Data Source]ダイアログボックスで、次のデータを入力します:
- Data Source Vendor:Generic
- Data Source Model:Advanced Syslog Parser
- Data Format:Default
- Data Retrieval:SYSLOG (Default)
- Enabled:Parsing
- Name:Kaspersky CyberTrace
- IP:Kaspersky CyberTrace のイベントの送信元となるコンピューターの IP アドレス
- Syslog Relay:None
- Mask:0
- Require syslog TLS:オフ
- Port:514
- Support Generic Syslogs:Log "unknown syslog" event
McAfee Enterprise Security Manager は、Kaspersky CyberTrace からのすべてのイベントを受信します。McAfee Enterprise Security Manager がイベントを解析できない場合、イベントは不明として表示されます。
- Time Zone:必要なタイムゾーンを選択します
- Encoding:None
![McAfee の[Edit Data Source]ウィンドウ。](config_of_the_data_source10.png)
データソースの設定
- (オプション)[Advanced ]をクリックして、[Advanced options]ダイアログボックスでデータソースのパラメータを指定します。
- [OK]をクリックします。
McAfee ESM は、設定済みのポリシーをロールアウトすることを推奨します。
![McAfee の[Rollout]ウィンドウ。](rollout_dialog_box10.png)
[Rollout]ダイアログボックス
- [Kaspersky CyberTrace]を選択し、[Policy Editor]ツールバーボタンをクリックします。
![McAfee の[Policy Editor]。](selecting_policy_editor10.png)
ポリシーエディタの選択
- [Policy Editor]ウィンドウで、[Advanced Syslog Parser Rules]というルールの種別を選択します。
- [New]→[Advanced Syslog Parser Rule]の順にクリックします。
![McAfee の[New]→[Advanced Syslog Parser Rule]メニュー項目。](policy_editor_win10.png)
[Policy Editor]ウィンドウ
- フィード更新イベントを解析するためのパーサーを作成するには、[Advanced Syslog Parser Rule]ダイアログボックスに次のデータを入力します:
- [General ]タブで、次のデータを入力します:
- Name:
Kaspersky_CyberTrace_ServiceEvent - Tags:ルールを定義するタグ(つまり、イベントのフィルタリング中に使用されるタグ)を選択します
- Rule Assignment Type:[User Defined 1]または別のユーザー定義の種別
- Description:The Kaspersky CyberTrace service event
- Name:
- [Parsing]タブで、次のデータを入力します:
- Provide content strings:Kaspersky CyberTrace Service Event
- Sample Log Data:フィード更新イベントの例を指定します。次に例を示します(改行文字を使用せずに 1 行で):
Kaspersky CyberTrace Service Event| date=Apr 17 19:08:28 alert=KL_ALERT_UpdatedFeed msg:feed=Demo_Botnet_CnC_URL_Data_Feed.json records=3907
- [Parsing]タブに次の正規表現を追加します:
Name
Regular Expression
ct_service_namealert\=(\S+)(?=\s)ct_context(msg.*)(?=$)ct_datedate\=(\S+\s\d+\s\S+)![McAfee の[Parsing]タブ。](parsing_tab10.png)
[Parsing]タブ
- [Field Assignment]タブで、次のデータを入力します:
Field
Expression
Action
"0"Description
[
ct_context]をこのフィールドにドラッグしますSeverity
"60"または選択した別の値Return_Code
[
ct_service_name]をこのフィールドにドラッグしますFirst Time
[
ct_date]をこのフィールドにドラッグします![McAfee の[Field Assignment]タブ。](field_assignment_tab10.png)
[Field Assignment]タブ
[+]をクリックすると、ここに他のフィールドを追加できます。
- [Mapping]タブで、次のデータを入力します:
- 時間データテーブルでは次のように入力します:
Time Format
Time Fields
%b %d %H:%M:%SFirst time- アクションテーブルでは次のように入力します:
Action Key
Action Value
0Success- 重大度テーブルでは次のように入力します:
Severity Key
Severity Value
6060![McAfee の[Mapping]タブ。](mapping_tab10.png)
[Mapping]タブ
- [General ]タブで、次のデータを入力します:
- [Finish]をクリックしてポリシーを保存します。
- [Default Policy]リストで、
Kaspersky CyberTraceデバイスを選択し、Kaspersky_CyberTrace_ServiceEventルールを有効にします。![McAfee の[enabled]ショートカットメニュー項目。](enabling_a_rule10.png)
ルールの有効化
- [File]→[Save]の順に選択して現在の状態を保存します。
- [Operations]→[Rollout]の順に選択して、ポリシーをロールアウトします。
![McAfee の[Operations]→[Rollout]メニュー項目。](rollout_a_policy10.png)
ポリシーのロールアウト
- 入力を促されたら、McAfee ESM で
Kaspersky CyberTraceデバイスを再初期化することに同意します。 - [Operations]→[Modify Aggregation Settings]メニュー項目を選択して、Kaspersky CyberTrace サービスイベントの集約ルールを変更します。
- [Modify Aggregation Settings]の[
Field 2]に値[Return_Code]を設定し、[OK]をクリックします。![McAfee の[Modify Aggregation Settings]ウィンドウ。](mod_aggr_set10.png)
Modify Aggregation Settings
- ロールアウトのリクエストを確定します。