McAfee Enterprise Security Manager と連携するための Kaspersky CyberTrace の設定

このセクションでは、McAfee ESM と連携するように Kaspersky CyberTrace を設定する方法について説明します。

Kaspersky CyberTrace を McAfee ESM と連携するように設定するには：

https://support.kaspersky.co.jp/datafeeds/download/15920 から Kaspersky CyberTrace をダウンロードします。
Kaspersky CyberTrace をインストールします。
- Linux では、Kaspersky CyberTrace は /opt/kaspersky/ktfs ディレクトリにインストールされます。
- Windows インストールについては、これ以降、インストールディレクトリを %CyberTrace_installDir_installDir% と表記します。
Kaspersky CyberTrace Web UI に初めてサインインすると、初期セットアップウィザードウィンドウが開きます。ウィザードの指示に従います。具体的には、次の設定を定義します：
1. ウィザードの［Proxy settings］ステップで、必要に応じてプロキシサーバーの接続パラメータを指定します。
2. ウィザードの［Data management settings］ステップで、次を指定します：
  - ［SIEM system］で、［Other］を選択します。
  - ［Incoming events］で、Kaspersky CyberTrace が受信イベントをリッスンするIPアドレスとポートを指定します。
  - ［Detection alerts］で、Kaspersky CyberTrace が検知アラートとサービスアラートを送信する McAfee ESM の IP アドレスとポートを指定します。
    McAfee ESM の場合、ポートは 514 です。

［Settings］→［Event sources］ページで、 Default イベントソースに隣接する鉛筆アイコン。

（Edit）をクリックし、［Regular expressions] タブを選択して、次の正規表現を指定します：

McAfee ESM と連携するための正規表現

Indicator type	Rule name	Regular expression	追加オプション
CONTEXT	Device	deviceExternalId\=(.*?)\s
CONTEXT	DeviceAction	act\=(.*?)\s
CONTEXT	DeviceIp	deviceTranslatedAddress\=(.*?)\s
HASH	RE_HASH	([\da-fA-F]{32,64})	Extract all：True
IP	RE_IP	dst\=(.*?)\s
URL	RE_URL	(?:\:\/\/)((?:\S+(?::\S)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-)[a-z\x{00a1}-\x{ffff}0-9])(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)+[a-z\x{00a1}-\x{ffff}0-9]++)(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]{2,}+)))(?:\.:\d{2,5})?+(?:\.\/[^\s\"\<\>]*+)?+)	Extract all：True
IP	SRC_IP	src\=(.*?)\s
CONTEXT	UserName	duser\=(.*?)\s

［Normalization rules］タブで、［Apply normalization rules］スイッチを有効にし、次の置換ルールを指定します：
McAfee ESM と連携するための置換ルール
変更を保存します。
SettingsService alerts［Settings］→［Service alerts］の順に選択し、次の形式を指定します：

［Settings］→［Detection alerts］の順に選択し、次の形式を指定します：

McAfee ESM と連携する検知アラート形式

フィールド	値
［Format］→［Alert format］	`Kaspersky CyberTrace Detection Event\| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%`
［Context］→［Actionable fields］	`%ParamName%:%ParamValue%` `%ParamName%` の前のスペースに注意してください。

フィールド

値

［Format］→［Alert format］

Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%

［Context］→［Actionable fields］

%ParamName%:%ParamValue%

%ParamName% の前のスペースに注意してください。

変更を保存します。

ページのトップに戻る