QRadar が受信したイベントを Kaspersky CyberTrace サービス経由で確認するには、イベントを Kaspersky CyberTrace サービスに転送するように QRadar を構成する必要があります。
QRadar から Kaspersky CyberTrace サービスにイベントを転送するには:
「KL_Threat_Feed_Service_v2」
など)を入力します。Payload
]、プロトコルに[TCP
]を選択します。Payload
形式が保持できる情報は、JSON
形式と比較して少なくなります。たとえば、イベントソース名が使用される場合、QRadar はイベントからイベントソース名を削除する場合があります。代わりに JSON
形式を指定することもできますが、その場合は必ず適切に構成してください。Kaspersky CyberTrace に転送するイベントを JSON
形式で構成する方法についての説明は、以下の 「JSON 形式のイベント構成に関する推奨事項」を参照してください。
転送先の追加
KL_Threat_Feed_Service_v2_Rule
など)を入力します。Online
]を選択します。Events
]を選択します。[KL_Verification_Tool
]と一緒にログソースを選択し、フィルターで[Equals any of
]演算子を使用します。また、サービスが最大限のパフォーマンスを発揮できるよう、フィード内を検索するインジケーター(URL、ハッシュ(MD5、SHA1、SHA256)、IP アドレスなど)を含むイベントのみを選択することを推奨します。
Kaspersky CyberTrace サービスから受信した検知イベントが Kaspersky CyberTrace サービスに戻されないよう、[Match all incoming events]をオフにするか、オフのままにします。
KL_Threat_Feed_Service_v2
)の横のチェックボックスをオンにします。ルーティングルールの追加
JSON 形式のイベント構成に関する推奨事項
多数のバージョンの QRadar(7.3.2 パッチ 6、7.4.0 など)において、JSON
形式の一部の転送済みイベントが削除される場合があり、それによって誤った結果が生じることがあります。これを回避するために、JSON
形式のイベントから一部のフィールドを除外することを推奨します(そのようなフィールドの完全なリストについては、IBM の QRadar サポートチームに問い合わせるか、手動での確認を試行します)。詳細な正規化ルールを Kaspersky CyberTrace Web で指定する必要があります(以下参照)。
そのため、Payload
形式のイベントに必須フィールドが含まれていない場合は、Payload
形式ではなく JSON
形式を使用します。その場合、以下の条件を満たしていることを確認します:
JSON 形式のイベントの構成
詳細な正規化ルールの構成