ステップ 1：ARB パッケージのインポート

このセクションでは、ARB パッケージを ArcSight にインポートする方法を説明します。

ARB パッケージには、サービスを ArcSight と連携するために必要なオブジェクト（アクティブチャネル、ダッシュボード、フィールドセット、レポート、ルール、フィルター、ユーザー）が含まれます。このファイルをインポートすると、これらのオブジェクトが ArcSight に作成されます。

ARB パッケージをインポートするには：

ArcSight Console を実行します。
［Navigator］ペイン（ツリービュー）で、［Packages］タブを選択します。
［Import］をクリックします。
ArcSight パッケージ
［Open］ウィンドウで、配布キットのディレクトリ /integration/arcsight/ にあるファイル Kaspersky_CyberTrace_Connector.arb を選択します。

ARB ファイルの選択
インポートプロセスが実行されます。
ARB のインポートの完了

すべてのオブジェクトが ARB ファイルから ArcSight にインポートされた後は、インポートされたルールはすべてリアルタイムルールです。つまり、これらのルールはリアルタイムで適用されます。

リアルタイムルールのリストを参照および管理するには：

ツリービューで［Resources］タブをクリックします。
［Active Channels］ドロップダウンリストを開き、［Rules］を選択します。
ツリーで［Rules］→［Shared］→［All Rules］→［Real-time Rules］の順に選択します。
リアルタイムルール
［Real-time Rules］を展開し、不要なネストされた項目をそこから削除します。

ARB パッケージのインポート後、新しいオブジェクトが ArcSight に作成されます。

ツリービューで［Active Channels］が選択された場合、以下のオブジェクトが［Active Channels］→［Shared］→［All Active Channels］→［Public］→［Kaspersky CyberTrace Connector］のロケーションにあります：

Object	Description	既定の状態
CyberTrace alerts	Kaspersky CyberTrace からのサービスイベントをリアルタイムで表示します。	オン
CyberTrace all matches	Kaspersky CyberTrace からの検知イベントをリアルタイムで表示します。	オン
CyberTrace hash matches	Kaspersky CyberTrace からのハッシュ検知イベントをリアルタイムで表示します。	オフ
CyberTrace URL matches	Kaspersky CyberTrace からの URL 検知イベントをリアルタイムで表示します。	オフ
CyberTrace IP matches	Kaspersky CyberTrace から IP の検知イベントをリアルタイムで表示します。	オフ

ツリービューで［Dashboards］が選択された場合、以下のオブジェクトが［Dashboards］→［Shared］→［All Dashboards］→［Public］→［Kaspersky CyberTrace Connector］のロケーションにあります：

Object	Description	既定の状態
CyberTrace detection map	悪意のある URL、IP アドレス、またはハッシュを含むイベントを送信したすべてのデバイスを表示します。検知プロセスに関わったすべてのフィードを表示します。	オフ
CyberTrace match statistics	検知統計情報：特定のカテゴリの検知されたオブジェクト数を表示します。	オン
CyberTrace TOP 10 matched indicators	検知された上位 10 個のインジケーターです。	オフ

ArcSight に過負荷をかけないよう、［CyberTrace detection map］および［CyberTrace Top 10 matched indicators］ダッシュボードは既定ではオフになっています。これらのダッシュボードは必要に応じてオンにできます。

ツリービューで［Field Sets］が選択された場合、以下のオブジェクトが［Field Sets］→［Shared］→［All Field Sets］→［Public］→［Kaspersky CyberTrace Connector］のロケーションにあります：

Object	Description	既定の状態
CyberTrace alerts	Kaspersky CyberTrace からのサービスイベントのフィールドを表示します。	静的
CyberTrace all matches	Kaspersky CyberTrace からの検知イベントのフィールドを表示します。	静的
CyberTrace matched hashes	Kaspersky CyberTrace からのハッシュ検知イベントのフィールドを表示します。	静的
CyberTrace matched URLs	Kaspersky CyberTrace からの URL 検知イベントのフィールドを表示します。	静的
CyberTrace matched IPs	Kaspersky CyberTrace からの IP アドレス検知イベントのフィールドを表示します。	静的

ツリービューで［Reports］が選択された場合、以下のオブジェクトが［Reports］→［Shared］→［All Reports］→［Public］→［Kaspersky CyberTrace Connector］のロケーションにあります：

Object

Description

既定の状態

CyberTrace all matches

Kaspersky CyberTrace からの検知イベントを含むレポート。

静的

ツリービューで［Rules］が選択された場合、以下のオブジェクトが［Rules］→［Shared］→［All Rules］→［Public］→［Kaspersky CyberTrace Connector］のロケーションにあります：

Object	Description	既定の状態
CyberTrace_HighThreatScoreIP	Kaspersky CyberTrace からの IP 検知イベントに高い重大度を割り当て、高優先度の IP 検知イベントを保管するためのルール。	オン
CyberTrace_MediumThreatScoreIP	Kaspersky CyberTrace からの IP 検知イベントに中程度の重大度を割り当て、中程度の優先度の IP 検知イベントを保管するためのルール。	オン
CyberTrace_LowThreatScoreIP	Kaspersky CyberTrace からの IP 検知イベントに低い重大度を割り当て、低優先度の IP 検知イベントを保管するためのルール。	オン

ツリービューで［Filters］が選択された場合、以下のオブジェクトが［Filters］→［Shared］→［All Filters］→［Public］→［Kaspersky CyberTrace Connector］のロケーションにあります：

Object	Description	既定の状態
CyberTrace all matches	Kaspersky CyberTrace が送信した検知イベントを選択するためのフィルター。	静的
CyberTrace forwarding events	URL、IP アドレス、またはハッシュを含むイベントを Kaspersky CyberTrace に転送するためのフィルター。	静的
CyberTrace matched hashes	Kaspersky CyberTrace が送信したハッシュ検知イベントを選択するためのフィルター。	静的
CyberTrace matched URLs	Kaspersky CyberTrace が送信した URL 検知イベントを選択するためのフィルター。	静的
CyberTrace matched IPs	Kaspersky CyberTrace が送信した IP 検知イベントを選択するためのフィルター。	静的

ツリービューで［Users］が選択された場合、以下のオブジェクトが［Users］→［Shared］→［Custom User Groups］→［Kaspersky CyberTrace Connector］のロケーションにあります：

Object

Description

既定の状態

FwdCyberTrace

ArcSight のイベント転送を構成するために使用されるアカウント。

静的

インポートが終了したら、FwdCyberTrace ユーザーが作成されていることを確認します。確認するには、ArcSight Console で［Users］→［Shared］→［Custom User Groups］→［Kaspersky CyberTrace Connector］の順に移動します。［FwdCyberTrace］ユーザーが存在しない場合は、手動で作成します。

ページのトップに戻る