カスタムまたはサードパーティのメール種別のフィードの追加
このセクションでは、メールタイプのカスタムまたはサードパーティのフィードの追加方法およびその設定の変更方法について説明します。
この機能は、ライセンスレベルによって課せられる制限により無効になる場合があります。
カスタムフィードを追加するには:
- [Settings]→[Feeds]ページで、[Add custom feed]をクリックします。
- emailフィードのタイプを選択します。
メールタイプのカスタムフィードを追加するためのウィンドウが開きます。
![[Custom feed]ウィンドウ。メールのフィードタイプ。](loc_cybertrace_add_email_feed_redesigned.png)
メールタイプのフィードの追加
- メールタイプのフィードについては、以下の情報を指定します:
- Feed name
フィード名では、アルファベット、数字、アンダースコア、およびハイフンが使用できます。名前は、既に使用している他のフィード名とは別のものにする必要があります。
フィード名として FalsePositive および InternalTI は使用しないでください。これらは、Kaspersky CyberTrace の組み込み脅威インジケーター名として予約されているためです。
基本認証を使用する場合は、フィード名に @ 文字を使用しないでください。ユーザー名またはパスワードには @ が含まれています。
- Vendor name
ドロップダウンリストから、フィードベンダーの名前を選択または入力します。
- Confidence
フィードの信頼性のレベル。このフィールドは空にできません。使用可能な値の範囲は、1 ~ 100 です。
事前設定値は、カスペルスキーからのフィードでは「
100」、OSINT feed では「50」、およびサードパーティのフィードでは「50」です。これらの値は変更できます。 - TLS/SSL
TLS/SSL 証明書を使用してメールサーバーと対話できるように、TLS/SSL を有効にします。
TLS/SSL は既定で有効になっています。メールサーバーが TLS/SSL を使用しない場合は無効にします。
- Host
接続先のメールサーバーのホスト名または IP アドレス。このフィールドは空にできません。
- Port
接続先のメールサーバーのポート。このフィールドは空にできません。
- Mail server type
メールサーバーとの対話用のプロトコル。POP3 または IMAP を選択します。既定では、IMAP が選択されます。
- Days to process emails
メールサーバーからのメッセージを処理するために必要な日数。
整数の正数を指定します。最大値は 365 です。7 が事前設定されています。
- Login
メールサーバーに接続するためのユーザーアカウント。このフィールドは空にできません。
- Password
メールサーバーに接続するためのアカウントのパスワード。このフィールドは空にできません。
- Check connection
[Check connection]をクリックし、メールサーバーに接続します。結果はポップアップウィンドウに表示されます。
- Feed name
上記のフィールドに入力した後、[Next]をクリックして別の設定ウィンドウに進み、メールメッセージのフィルタリングルール、およびメッセージボディとメッセージ添付ファイルの解析ルールを指定します。
メールフィードを追加した後に、[Retention period]の値を更新します(事前設定値 365 日)。
メールタイプのフィードのフィルタリングルールおよび解析ルールの設定
以下のウィンドウには、フィルタリングルールおよび解析ルールを設定するためのフィールドが含まれます。
![[Custom feed]ウィンドウ。メールのフィードタイプ。](loc_cybertrace_email_feed_parsing_rules_redesigned.png)
フィルタリングルールおよび解析ルール
メッセージフィルターの追加
メッセージフィルターは、解析対象のメールの選択ルールを設定します。件名および送信者別にメールを選択できます。すべてのルールに AND 条件が使用されます。
メッセージフィルターを追加するには:
- [Email filtering rules]セクションで、[Add rule]をクリックします。
1 つ以上の結果を追加できます。ルールを追加しない場合は、解析はサーバーからのすべてのメールに適用されます。
- すべてのフィールドに対して、以下の情報を指定します:
- Field
メールメッセージ内の以下のフィールドにフィルタリングルールを適用できます:
- From
メールメッセージの送信者。
- Subject
メールメッセージの件名。
- From
- Condition
次のいずれかの値を選択します:
- Contains(既定)
メールメッセージの値には、このフィールドの値が含まれる必要があります。
これが既定値です。
- Does not contain
メールメッセージの値には、このフィールドの値が含まれていない必要があります。
- Matches
メールメッセージの値は、このフィールドの値と等しい必要があります。
- Does not match
メールメッセージの値は、このフィールドの値と等しくない必要があります。
- Contains(既定)
- Value
メールサーバーからのメールメッセージをフィルタリングするために使用される基準。
このフィールドは空にできません。
- Field
メールサーバーは、次の 2 つのバリアントで[From]フィールドを形成します: sender@mail.ru または sender<sender@mail.ru>。
[Field]に[From]があり、[Condition]に[Matches]がある場合は、 [Value]は sender@mail.ru 値([From]フィールドに sender@mail.ru がある場合)または括弧内の値([From]フィールドに sender<sender@mail.ru> がある場合)と比較されます。
メッセージ添付ファイルの解析ルールの設定
これらのルールには、添付ファイルタイプの設定だけでなく、インジケーターや添付ファイルのコンテキストを解析するための正規表現も含まれます。
メッセージ添付ファイルの解析ルールを指定するには:
- [Message]セクションに移動し、 [Attachments]を選択します。
メッセージ添付ファイルの解析は既定で有効です。添付ファイルの 1 つ以上のタイプを適用できます。1 つのタイプの添付ファイルを適用できるのは 1 回のみです。
- 選択した添付ファイル種別に応じたフィールドを指定します。
- Attachment type
添付ファイルの種別を選択します。添付ファイルの種別として、以下の値から 1 つ以上を使用できます:
- csv
CSV 添付ファイルの場合は、列を区切る区切り文字を指定します。区切り文字の長さは、
\nと\tを除き、 1 文字を超えることはできません。既定では、区切り記号としてセミコロン(;)が使用されます。指定するフィールドは次の通りです:Field type、Field name、Column number。
- json
指定するフィールドは次の通りです:Field type、Field name、Root element。
- stix1
stix1 および xml の解析ルールがメールフィード設定で同時に指定されると、stix1 ファイルが先に解析されます。
stix1 ファイルがエラーなしで解析されると、通常の xml ファイルとして処理されなくなります。
- stix2
stix2 および json の解析ルールがメールフィード設定で同時に指定されると、stix2 ファイルが先に解析されます。
stix2 ファイルがエラーなしで解析されると、通常の json ファイルとして処理されなくなります。
- pdf
[Attachments]セクションで指定するフィールドは次の通りです: Field type、Field name、Regular expression。
必要に応じて、[Regular expression]フィールドで、事前設定の正規表現を選択したり、修正したりできます。
URL および IP インジケーターでは、事前設定の正規表現は、インジケーター受信するように設定されます。この値では、ドットは括弧で囲まれています。(例:badurl[.].com)。
Kaspersky CyberTrace バージョン 4.2 以降では、MD5、SHA1、SHA256 の正規表現で、より長い値のフラグメントをより長いインジケーターから抽出可能です(
a-fの文字と数字を含む、より長いハッシュや URL など)。MD5、SHA1、SHA256 の既定の正規表現を、より特定的なものに置換することを推奨します。たとえば、MD5 には[^\da-fA-F]([\da-fA-F]{32})[^\da-fA-F]instead of([\da-fA-F]{32})が使用できます。 - xml
XML 添付ファイルでは、ルート要素を指定します。この場合、ルート要素に関連するフィード要素の名前を使用できます。ルートとして指定する要素は、指定したフィードのネストのレベルに応じて異なります。「カスタムまたはサードパーティのフィードの追加」セクションのステップ 4 の XML フィードのルート要素の例を参照してください。
[Attachments]セクションで指定するフィールドは次の通りです:Field type、Field name、Element。
- csv
- Field type
インジケーターのタイプを選択します。
このフィールドは、stix1 および stix2 では使用できません。
- Field name
この名前は、マッチングプロセスで参照されます。
フィールド名では、アルファベット、数字、アンダースコア、およびハイフンを使用できます。名前には、少なくとも 1 つのラテン文字が含まれている必要があります。
このフィールドは、stix1 および stix2 では使用できません。
- Root element
添付ファイル種別が json と xml の場合、ルート要素を指定します。任意のネストレベルのルート要素値を指定できます。ネストレベルの制限は、「
/」文字で定義します。ルート要素パラメータを空にすることはできません。空でない場合は、ルート要素の値に空のネストレベル(部分文字列「
//」)を含めることはできず、「/」文字で開始または終了できません。JSON フィードではルート要素にワイルドカードを使用できません。
- Attachment type
- [Exclusions]セクションで除外ルールを適用する場合は、正規表現を使用します。
- [Check parsing]をクリックし、添付ファイルの解析設定をチェックします。
処理されたボディとその添付ファイルのインジケーターを含む結果のフィードの最初の 50 の文字列が表示されます。
- [Add]をクリックします。
メッセージボディの解析ルールの設定
これらのルールには、インジケーターおよびメッセージボディのコンテキストを解析するための正規表現が含まれます。
メッセージボディの解析ルールを指定するには:
- [Message]セクションに移動し、[Body]タブを選択します。
- 次のフィールドを指定します:
- Field type
インジケーターのタイプを選択します。
- Field name
この名前は、マッチングプロセスで参照されます。
フィールド名では、アルファベット、数字、アンダースコア、およびハイフンを使用できます。名前には、少なくとも 1 つのアルファベットが含まれている必要があります。
- Regular expression
必要に応じて、[Regular expression]フィールドで、事前設定の正規表現を選択したり、修正したりできます。
URL および IP インジケーターでは、事前設定の正規表現は、インジケーター受信するように設定されます。この値では、ドットは括弧で囲まれています。(例:badurl[.].com)。
Kaspersky CyberTrace バージョン 4.2 以降では、MD5、SHA1、SHA256 の正規表現で、より長い値のフラグメントをより長いインジケーターから抽出可能です(
a-fの文字と数字を含む、より長いハッシュや URL など)。MD5、SHA1、SHA256 の既定の正規表現を、より特定的なものに置換することを推奨します。たとえば、MD5 には[^\da-fA-F]([\da-fA-F]{32})[^\da-fA-F]instead of([\da-fA-F]{32})が使用できます。[Add rule]をクリックし、正規表現をもう 1 つ適用します。
- Exclusions
除外ルールを適用する場合は、正規表現を使用します。
[Exclusions]セクションで、[Add exclusion]をクリックして除外を追加します。
- Field type
- [Check parsing]をクリックし、メッセージボディの解析設定をチェックします。
処理されたメッセージとその添付ファイルのインジケーターを含む、結果のフィードの最初の 50 文字列が表示されます。
- [Add]をクリックします。