このセクションでは、ARB パッケージを ArcSight にインポートする方法を説明します。
ARB パッケージには、サービスを ArcSight と連携するために必要なオブジェクト(アクティブチャネル、ダッシュボード、フィールドセット、レポート、ルール、フィルター、ユーザー)が含まれます。このファイルをインポートすると、これらのオブジェクトが ArcSight に作成されます。
ARB パッケージをインポートするには:
ArcSight パッケージ
/integration/arcsight/
にあるファイル Kaspersky_CyberTrace_Connector.arb を選択します。
ARB ファイルの選択
インポートプロセスが実行されます。
ARB のインポートの完了
すべてのオブジェクトが ARB ファイルから ArcSight にインポートされた後は、インポートされたルールはすべてリアルタイムルールです。つまり、これらのルールはリアルタイムで適用されます。
リアルタイムルールのリストを参照および管理するには:
リアルタイムルール
ARB パッケージのインポート後、新しいオブジェクトが ArcSight に作成されます。
Object |
Description |
既定の状態 |
CyberTrace alerts |
Kaspersky CyberTrace からのサービスイベントをリアルタイムで表示します。 |
オン |
CyberTrace all matches |
Kaspersky CyberTrace からの検知イベントをリアルタイムで表示します。 |
オン |
CyberTrace hash matches |
Kaspersky CyberTrace からのハッシュ検知イベントをリアルタイムで表示します。 |
オフ |
CyberTrace URL matches |
Kaspersky CyberTrace からの URL 検知イベントをリアルタイムで表示します。 |
オフ |
CyberTrace IP matches |
Kaspersky CyberTrace から IP の検知イベントをリアルタイムで表示します。 |
オフ |
Object |
Description |
既定の状態 |
CyberTrace detection map |
悪意のある URL、IP アドレス、またはハッシュを含むイベントを送信したすべてのデバイスを表示します。検知プロセスに関わったすべてのフィードを表示します。 |
オフ |
CyberTrace match statistics |
検知統計情報:特定のカテゴリの検知されたオブジェクト数を表示します。 |
オン |
CyberTrace TOP 10 matched indicators |
検知された上位 10 個のインジケーターです。 |
オフ |
ArcSight に過負荷をかけないよう、[CyberTrace detection map
]および[CyberTrace Top 10 matched indicators
]ダッシュボードは既定ではオフになっています。これらのダッシュボードは必要に応じてオンにできます。
Object |
Description |
既定の状態 |
CyberTrace alerts |
Kaspersky CyberTrace からのサービスイベントのフィールドを表示します。 |
静的 |
CyberTrace all matches |
Kaspersky CyberTrace からの検知イベントのフィールドを表示します。 |
静的 |
CyberTrace matched hashes |
Kaspersky CyberTrace からのハッシュ検知イベントのフィールドを表示します。 |
静的 |
CyberTrace matched URLs |
Kaspersky CyberTrace からの URL 検知イベントのフィールドを表示します。 |
静的 |
CyberTrace matched IPs |
Kaspersky CyberTrace からの IP アドレス検知イベントのフィールドを表示します。 |
静的 |
Object |
Description |
既定の状態 |
CyberTrace all matches |
Kaspersky CyberTrace からの検知イベントを含むレポート。 |
静的 |
Object |
Description |
既定の状態 |
CyberTrace_HighThreatScoreIP |
Kaspersky CyberTrace からの IP 検知イベントに高い重大度を割り当て、高優先度の IP 検知イベントを保管するためのルール。 |
オン |
CyberTrace_MediumThreatScoreIP |
Kaspersky CyberTrace からの IP 検知イベントに中程度の重大度を割り当て、中程度の優先度の IP 検知イベントを保管するためのルール。 |
オン |
CyberTrace_LowThreatScoreIP |
Kaspersky CyberTrace からの IP 検知イベントに低い重大度を割り当て、低優先度の IP 検知イベントを保管するためのルール。 |
オン |
Object |
Description |
既定の状態 |
CyberTrace all matches |
Kaspersky CyberTrace が送信した検知イベントを選択するためのフィルター。 |
静的 |
CyberTrace forwarding events |
URL、IP アドレス、またはハッシュを含むイベントを Kaspersky CyberTrace に転送するためのフィルター。 |
静的 |
CyberTrace matched hashes |
Kaspersky CyberTrace が送信したハッシュ検知イベントを選択するためのフィルター。 |
静的 |
CyberTrace matched URLs |
Kaspersky CyberTrace が送信した URL 検知イベントを選択するためのフィルター。 |
静的 |
CyberTrace matched IPs |
Kaspersky CyberTrace が送信した IP 検知イベントを選択するためのフィルター。 |
静的 |
Object |
Description |
既定の状態 |
FwdCyberTrace |
ArcSight のイベント転送を構成するために使用されるアカウント。 |
静的 |
インポートが終了したら、FwdCyberTrace
ユーザーが作成されていることを確認します。確認するには、ArcSight Console で[Users]→[Shared]→[Custom User Groups]→[Kaspersky CyberTrace Connector]の順に移動します。[FwdCyberTrace
]ユーザーが存在しない場合は、手動で作成します。