検知アラート形式の設定
検知アラートは、検知したインジケーターとの一致に関する情報を保持する送信アラートです。
[Settings]→[Detection alerts]ページの[Format]タブでは、送信検知アラートの形式を指定できます。
![CyberTrace の[Settings]→[Detections page]ページ。[Detection alerts format]タブ。](loc_settings_detections_for_tenant_new.png)
[Settings]→[Detection alerts]ページの[Format]タブ
アラート形式を手動で変更することは推奨しません。代わりに、アラートで使用するパターンのチェックボックスをオンにすることでも、Kaspersky CyberTrace によって自動的にフォーマットが更新されます。
このタブには次の 2 つのサブセクションがあります:
- Service fields
これらのフィールドの値は、Kaspersky CyberTrace によって生成されるパターンです。
送信検知アラートで使用したいパターンのチェックボックスをオンにします。Kaspersky CyberTrace により、[Alert format]フィールドの形式が自動的に更新されます。
- Values extracted from the event
これらのフィールドの値は、イベントソースに定義された正規表現を使用して、受信イベントから抽出されます。
送信検知アラートで使用したいパターンのチェックボックスをオンにします。Kaspersky CyberTrace により、[Alert format]フィールドの形式が自動的に更新されます。
特定の SIEM システムにおけるイベントとアラートの形式の設定
イベントと検知アラートの適切な形式は、お使いの SIEM システムによって異なります。Kaspersky CyberTrace でイベントまたはアラートの形式を変更する場合、SIEM システムとの連携も更新しなければならない場合があります。
- ArcSight の場合、イベントの形式と入力可能フィールドの更新が必要な場合があります。
- QRadar の場合、新しいフィールドの解析の追加が必要な場合があります。
- RSA NetWitness の場合、新しいフィールドの解析方法の指定が必要な場合があります(「RSA NetWitness のトラブルシューティング」も参照してください)。
- LogRhythm の場合、新しいフィールドの解析方法の指定が必要な場合があります。