AlienVault USM / OSSIM での Kaspersky CyberTrace から受信したイベントの閲覧
このセクションでは、AlienVault USM / OSSIM で Kaspersky CyberTrace から受信したイベントを閲覧する方法について説明します。
AlienVault USM / OSSIM Web インターフェイスで Kaspersky CyberTrace から受信したイベントを閲覧するには:
- ブラウザーで、AlienVault USM / OSSIM Web インターフェイスを開きます。
- [Analysis]→[Security events (SIEM)]の順に選択します。
- [Data Sources]ドロップダウンリストで、[Kaspersky CyberTrace]を選択します。
AlienVault USM / OSSIM に、Kaspersky CyberTrace から受信したイベントが表示されます。
![AlienVault の[Security Events]ウィンドウ。](alien01.png)
Kaspersky CyberTrace から受信したイベント
AlienVault USM / OSSIM には、2 種類の Kaspersky CyberTrace イベントが表示されます。この種類はイベントリストの[Event Name]列で指定されます:
- サービスイベント
テーブルの最後の列のボタン(
。](alien03.png)
)クリックします。サービスイベントの場合、次のデータが表示されます(次の図を参照):- [Userdata1]フィールドにサービスイベント自体が記載されます。
- [Userdata2]フィールドにイベントのコンテキスト(存在する場合)が記載されます。
- 検知イベント
テーブルの最後の列のボタン(
)クリックします。検知イベントの場合、次のデータが表示されます(次の図を参照):- [Userdata1]フィールドに、検知プロセスに関与するフィードが記載されます。
- [Userdata2]フィールドに、検知されたインジケーターが記載されます。
- [Userdata3]フィールドに、検知プロセスに関与するフィードレコードのコンテキストが記載されます。
[Userdata3]フィールドに記載される文字は 1024 個までです。そのため、コンテキスト全体が記載されない場合があります。イベント全体(コンテキストを含む)は[RAW LOG]フィールドに記載されます。
検知イベントのデータ