サービスアラート形式のパターンについて

形式とパターンを使用して、Kaspersky CyberTrace によって生成されるアラートに特定の情報を含めることができます。

形式は、アラートまたはパターンの形式を決定する文字列です。パターンは、形式の指定時に使用できる特別なワイルドカードです。パターンは、アラートの生成時に実際のデータによって置き換えられます。

レコードコンテキスト形式

%RecordContext% 形式は、背景情報フィールドをアラートに追加する必要がある方法を指定します。この形式は、サービスアラート設定で指定できます。

%RecordContext% 形式では、次のパターンを使用できます：

• %ParamName%

  フィード内のフィールドの名前。

• %ParamValue%

  フィールドの値。

%RecordContext% 形式は、サービスアラートに渡される背景情報フィールドの形式を決定します。

これらのフィールドは、サービスアラートのタイプごとに固有のものです。たとえば、%RecordContext% が %ParamName%=%ParamValue% であり、フィードが更新されている場合、次の文字列を生成できます：「"feed=Phishing_URL_Data_Feed.json records=200473」

サービスアラート形式

この形式は、サービスアラート設定で指定できます。

この形式では、次のパターンを使用できます：

• %Alert%

  イベントのタイプ。

• %RecordContext%

  上記の「レコードコンテキスト形式」セクションで説明されているアラートのコンテキスト。

• %Date%

  Mon DD HH:MM:SS 形式の現在の日時。

サービスアラート形式の例は、次の通りです：

%Date% alert=%Alert%%RecordContext%

フィード更新アラートが生成される場合、上記の例では、次のアラートが生成されます：

Apr 16 09:05:41 alert=KL_ALERT_UpdatedFeed feed=Phishing_URL_Data_Feed.json records=200473

ArcSight のパターン

Kaspersky CyberTrace サービスは、サービスアラートを CEF 形式で送信します。ArcSight のアラート形式は、CEF 形式の要件に適合する必要があります。

次の形式を使用します：

CEF:0|Kaspersky Lab|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext%

上記の形式では、4（または 1 ～ 10 の別の値）が、Kaspersky CyberTrace のサービスアラートのレベル（深刻度）です。

RSA NetWitness のパターン

サービスアラート形式の値は、ファイル v20_cybertracemsg.xml に設定されている形式に対応している必要があります。これらの形式を変更する場合、それに応じて v20_cybertracemsg.xml ファイルを編集してください。

ページのトップに戻る