Kaspersky CyberTrace によって送信される送信アラートの設定が含まれます。
パス
[Domains]→[Domain]→[OutputSettings]→[EventSettings]
属性
この要素には属性がありません。
ネストされた要素
EventFormat、ActionableFieldContextFormat 値を指定するには、アラート形式パターンの詳細を調べる必要がある場合があります。
この要素は、次のネストされた要素のコンテナです:
送信アラートの形式を指定します。
この要素は必須です。
Kaspersky CyberTrace の検知アラートのフィルタリングルールが含まれます。複数のフィルタリングルールを一度に指定できます。
入力可能フィールドをアラートに追加する方法を指定します。
この要素は必須です。
処理されたイベントごとに生成されるアラートの形式を指定します。
この要素は必須です。
この要素の詳細は、次の「[EventSettings]→[FinishedEventFormat]」サブセクションを参照してください。
[EventSettings]→[FinishedEventFormat]
イベントの処理後に生成されるアラートの形式を指定します。
このパラメータが有効である場合、Kaspersky CyberTrace によって処理されるイベントごとにアラートが生成されます。検知がない場合でも、アラートが生成されます。
この要素は必須です。
この要素の値は、アラートの形式を指定します。この形式では、%RecordContext% パターンと正規表現名を使用できます。
%RecordContext% パターンは、次のフィールド(使用されている場合)を提供します:
この種別のイベントの場合は、「LookupFinished」です。
SIEM システムに送信されたアラートの数。
検知アラートに割り当てられたすべてのカテゴリに対して形成された次の部分文字列の連結:
<category>:<number_of_detections>;
検知がなかった場合、sent_events パラメータは 0 に設定され、total 文字列は空になります。
この要素には、次の属性があります:
[FinishedEventFormat]要素の属性
属性 |
説明 |
|---|---|
|
特別なアラートが生成されるかどうかを定義します。 使用可能値は、 この値が この値が この属性は任意です。 |
例
この要素の例は、次の通りです。
<EventSettings> <EventFormat>%RE_DATE% category=%Category% matchedIndicator=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME%%RecordContext%</EventFormat> <SendEventFilters> ... </SendEventFilters> <ActionableFieldContextFormat><![CDATA[ %ParamName%:%ParamValue%]]></ActionableFieldContextFormat> <FinishedEventFormat enabled="true">LookupFinished %RecordContext%</FinishedEventFormat> </EventSettings> |