サービスアラートの設定
サービスアラートは、イベントターゲットソフトウェア(たとえば、SIEMシステム)に Kaspersky CyberTrace サービスのステータスを通知する送信アラートです。
サービスアラートの設定は、 Kaspersky CyberTrace Web ユーザーインターフェイスの[Settings]→[Service alerts]ページで管理できます。このページにアクセスするには、System management モードに切り替える必要があります。このモードにアクセスできるのは、管理者ロールを持つユーザーのみです。
![CyberTrace の[Settings]→[Service alerts]ページ。](loc_settings_service_alerts_new.png)
[Settings]→[Service alerts]ページ
[Service alerts]ページでは、サービスアラートの形式とレコードの背景情報を指定できます。
アラート形式を手動で変更することは推奨しません。代わりに、アラートで使用するパターンのチェックボックスをオンにすることでも、Kaspersky CyberTrace によって自動的にフォーマットが更新されます。
このページには、次のテキストフィールドがあります:
- Format of service alerts - 送信アラートの形式を指定します。
- Format of records context—送信イベントにフィードフィールドの名前と値が挿入される形式を指定します。
特定の SIEM システムにおけるイベントとアラートの形式の設定
イベントと検知アラートの適切な形式は、お使いの SIEM システムによって異なります。Kaspersky CyberTrace でイベントまたはアラートの形式を変更する場合、SIEM システムとの連携も更新しなければならない場合があります。
- ArcSight の場合、イベントの形式と入力可能フィールドの更新が必要な場合があります。
- QRadar の場合、新しいフィールドの解析の追加が必要な場合があります。
- RSA NetWitness の場合、新しいフィールドの解析方法の指定が必要な場合があります(「RSA NetWitness のトラブルシューティング」も参照してください)。
- LogRhythm の場合、新しいフィールドの解析方法の指定が必要な場合があります。