ステップ 3(オプション):Kaspersky CyberTrace イベントの追加
このセクションでは、LogRhythm に Kaspersky CyberTrace アラートを手動で追加する方法について説明します。
Kaspersky CyberTrace ルールおよびアラートのインポートが成功した場合、このステップはスキップしてください。
LogRhythm に Kaspersky CyberTrace アラートを追加するには:
- LogRhythm Console を実行します。
- [Deployment Manager]→[Tools]→[Knowledge]→[Common Event Manager]の順に選択します。
![LogRhythm の[Tools]→[Knowledge]→[Common Event Manager]メニュー項目。](logrhythm03.jpg)
[Common Event Manager]メニュー項目
[Common Event Manager]ウィンドウが表示されます。
- 下のテーブルで指定されているアラートを追加します。製品版および OSINT feed のすべてを使用するとは限らない場合、一部のアラートは不要な場合があります。
「Security : Compromise」分類のアラート
アラート
説明
KL_APT_Hash_MD5
APT キャンペーンで使用されている悪意のあるファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_APT_Hash_SHA1
APT キャンペーンで使用されている悪意のあるファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_APT_Hash_SHA256
APT キャンペーンで使用されている悪意のあるファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_APT_IP
APT キャンペーンで使用されている IP アドレスは、Kaspersky CyberTrace で検知されます。
KL_APT_URL
APT キャンペーンで使用されている URL は、Kaspersky CyberTrace で検知されます。
KL_BotnetCnC_Hash_MD5
ボットネットハッシュは、Kaspersky CyberTrace で検知されます。
KL_BotnetCnC_Hash_SHA1
ボットネットハッシュは、Kaspersky CyberTrace で検知されます。
KL_BotnetCnC_Hash_SHA256
ボットネットハッシュは、Kaspersky CyberTrace で検知されます。
KL_BotnetCnC_URL
ボットネット C&C URL は、Kaspersky CyberTrace で検知されます。
KL_ICS_Hash_MD5
ICS ハッシュは、Kaspersky CyberTrace で検知されます。
KL_ICS_Hash_SHA1
ICS ハッシュは、Kaspersky CyberTrace で検知されます。
KL_ICS_Hash_SHA256
ICS ハッシュは、Kaspersky CyberTrace で検知されます。
KL_InternalTI_URL
Kaspersky CyberTrace の内部 TI リストの URL。
KL_InternalTI_IP
Kaspersky CyberTrace の内部 TI リストの IP。
KL_InternalTI_Hash_MD5
Kaspersky CyberTrace の 内部 TI リストのハッシュ。
KL_InternalTI_Hash_SHA1
Kaspersky CyberTrace の 内部 TI リストのハッシュ。
KL_InternalTI_Hash_SHA256
Kaspersky CyberTrace の 内部 TI リストのハッシュ。
KL_IoT_Hash_MD5
IoT のハッシュは、Kaspersky CyberTrace で検知されます。
KL_IoT_Hash_SHA1
IoT のハッシュは、Kaspersky CyberTrace で検知されます。
KL_IoT_Hash_SHA256
IoT のハッシュは、Kaspersky CyberTrace で検知されます。
KL_IoT_URL
Internet of Things (IoT)対応デバイスに感染する URL は、Kaspersky CyberTrace で検知されます。
KL_IP_Reputation
悪意のある IP アドレスは、Kaspersky CyberTrace で検知されます。
KL_IP_Reputation_Hash_MD5
悪意のある IP アドレスでホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_IP_Reputation_Hash_SHA1
悪意のある IP アドレスでホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_IP_Reputation_Hash_SHA256
悪意のある IP アドレスでホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_URL
悪意のある URL は、Kaspersky CyberTrace で検知されます。
KL_Malicious_URL_Hash_MD5
悪意のある URL でホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_URL_Hash_SHA1
悪意のある URL でホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_URL_Hash_SHA256
悪意のある URL でホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_Hash_MD5
悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_Hash_SHA1
悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Malicious_Hash_SHA256
悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_Malicious_Hash_MD5
モバイルの悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_Malicious_Hash_SHA1
モバイルの悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_Malicious_Hash_SHA256
モバイルの悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_BotnetCnC_Hash_MD5
モバイルのボットネット C&C ハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_BotnetCnC_Hash_SHA1
モバイルのボットネット C&C ハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_BotnetCnC_Hash_SHA256
モバイルのボットネット C&C ハッシュは、Kaspersky CyberTrace で検知されます。
KL_Mobile_BotnetCnC_URL
モバイルのボットネット C&C URL は、Kaspersky CyberTrace で検知されます。
KL_Phishing_URL
フィッシング URL は、Kaspersky CyberTrace で検知されます。
KL_Ransomware_URL
ランサムウェアをホストする URL は、Kaspersky CyberTrace で検知されます。
KL_Ransomware_URL_Hash_MD5
ランサムウェアのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Ransomware_URL_Hash_SHA1
ランサムウェアのハッシュは、Kaspersky CyberTrace で検知されます。
KL_Ransomware_URL_Hash_SHA256
ランサムウェアのハッシュは、Kaspersky CyberTrace で検知されます。
AbuseCh_Feodo_Block_IP
Abuse.Ch_Feodo_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
AbuseCh_Ransomware_Block_URL
Abuse.Ch_Ransomware_Block_URL フィードからの URL は、Kaspersky CyberTrace で検知されます。
AbuseCh_Ransomware_Block_Domain
Abuse.Ch_Ransomware_Block_Domain フィードからのドメインは、Kaspersky CyberTrace で検知されます。
AbuseCh_Ransomware_Block_IP
Abuse.Ch_Ransomware_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
AbuseCh_Ransomware_Common_URL
Abuse.Ch_Ransomware_Common_URL フィードからの URL は、Kaspersky CyberTrace で検知されます。
AbuseCh_SSL_Certificate_Block_IP
AbuseCh_SSL_Certificate_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
AbuseCh_SSL_Certificate_Hash_SHA1
AbuseCh_SSL_Certificate_Hash_SHA1 フィードからのハッシュは、Kaspersky CyberTrace で検知されます。
BlocklistDe_Block_IP
BlocklistDe_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
CyberCrime_Tracker_Block_Url
CyberCrime_Tracker_Block_Url フィードからの URL は、Kaspersky CyberTrace で検知されます。
EmergingThreats_Block_IP
EmergingThreats_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
EmergingThreats_Compromised_IP
EmergingThreats_Compromised_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。
- サービスアラート:
アラート
説明
分類
KL_ALERT_ConfigurationUpdated
このアラートは、Kaspersky CyberTrace サービスによって設定情報ファイルが再読み込みされた時に生成されます。
Audit : Configuration
KL_ALERT_FeedBecameAvailable
このアラートは、現在の証明書と一緒に使用できるフィードが使用可能になった時に生成されます。
Audit : Other Audit Success
KL_ALERT_FeedBecameUnavailable
このアラートは、現在の証明書と一緒に使用されるフィードが使用できなくなった時に生成されます。
Audit : Other Audit Failure
KL_ALERT_OutdatedFeed
このアラートは、指定した期間中にフィードが更新されなかった時に生成されます。
Audit : Other Audit Failure
KL_ALERT_ServiceUnavailable
このアラートは、Kaspersky CyberTrace サービスがクラッシュまたはフリーズした場合に生成されます。
Audit : Other Audit Failure
KL_ALERT_ServiceStopped
このアラートは、Kaspersky CyberTrace サービスが正常に停止した時に生成されます。
Audit : Startup and Shutdown
KL_ALERT_ServiceStarted
このアラートは、Kaspersky CyberTrace サービスが正常に開始された時に生成されます。
Audit : Startup and Shutdown
KL_ALERT_UpdatedFeed
このアラートは、フィードが Kaspersky CyberTrace サービスによって更新および読み込まれた時に生成されます。
Audit : Other Audit Success
KL_ALERT_FailedToUpdateFeed
このアラートは、Kaspersky CyberTrace サービスが新しいフィードの読み込みに失敗し(たとえば、ライセンスによるインジケーターの数の制限のため)、古いフィードを使用し続ける時に生成されます。
Audit : Other Audit Failure
KL_ALERT_LicenseExpires
このアラートは、使用中のライセンスの有効期間が 30 日以内に終了することを通知するために生成されます。
Audit : Policy
KL_ALERT_LicenseExpired
このアラートは、ライセンスの有効期間の終了時に生成されます。
Audit : Policy
KL_ALERT_EPSLimitExceeded
このアラートは、ライセンスまたはライセンスレベルによって課される、処理された EPS(秒ごとに発生するイベント数)の制限を超えた時に生成されます。
Audit : Policy
KL_ALERT_EPSHardLimit
このアラートは、Kaspersky CyberTrace サービスにより、秒ごとに処理されるイベント数(EPS)が現在のライセンスまたはライセンスレベルのイベントの最大数に制限されている場合に生成されます。この制限は、受信イベントの数にかかわらず適用されます。
Audit : Policy
KL_ALERT_LicenseChanged
このアラートは、Kaspersky CyberTrace が別のライセンスまたはライセンスレベルを使用し始めた時に生成されます。
Audit : Configuration
KL_ALERT_RetroScanError
このアラートは、レトロスキャンタスクが失敗した時に生成されます。
Audit : Other Audit Failure
KL_ALERT_RetroScanCompleted
このアラートは、レトロスキャンタスクが成功した時に生成されます。
Audit : Other Audit Success
KL_ALERT_RetroScanStorageExceeded
このアラートは、保存されているイベントのサイズの制限を超えた時に生成されます。
Audit : Policy
KL_ALERT_IndicatorsStoreLimitExceeded
このアラートは、保存されているインジケーターのサイズの制限を超えた時に生成されます。
Audit : Policy
KL_ALERT_IndicatorsStoreHardLimit
このアラートは、Kaspersky CyberTrace がインジケーターの追加および更新を制限している時に生成されます。
Audit : Policy
KL_ALERT_FreeSpaceEnds
このアラートは、使用可能なディスクスペースが少なくなった時に生成されます。
Audit : Policy
Kaspersky CyberTrace のアラートに関するセクションで説明したように、アラートには背景情報フィールドが含まれている場合があります。
![LogRhythm の[Common Event Properties]ウィンドウ。](logrhythm05.jpg)
[Common Event Properties]ウィンドウ
アラートの追加後、[Common Event Manager]ウィンドウには、下の図で示すようにアラートが含まれている必要があります。
![LogRhythm の[Common Event Manager]ウィンドウ。](logrhythm06.jpg)
追加されたアラート
ページのトップに戻る