ステップ 3:QRadar から Kaspersky CyberTrace サービスへのイベントの転送
QRadar が受信したイベントを Kaspersky CyberTrace サービス経由で確認するには、イベントを Kaspersky CyberTrace サービスに転送するように QRadar を設定する必要があります。
QRadar から Kaspersky CyberTrace サービスにイベントを転送するには:
- [Admin]→[System Configuration]→[Forwarding Destinations]→[Add]の順に選択します。
- [Forwarding Destination Properties]ウィンドウで、宛先の識別子(
「KL_Threat_Feed_Service_v2」など)を入力します。 - 宛先のアドレス(Kaspersky CyberTrace サービスが実行されるホスト)を入力します。
- イベント形式に[
Payload]、プロトコルに[TCP]を選択します。Payload形式が保持できる情報は、JSON形式と比較して少なくなります。たとえば、イベントソース名が使用される場合、QRadar はイベントからイベントソース名を削除する場合があります。代わりにJSON形式を指定することもできますが、その場合は必ず適切に設定してください。Kaspersky CyberTrace に転送するイベントをJSON形式で設定する方法についての説明は、以下の 「JSON 形式のイベント設定に関する推奨事項」を参照してください。 - Kaspersky CyberTrace の受信イベントのパラメータに従ってポートを設定します。この情報は、Kaspersky CyberTrace Web の[Settings]→[Service]タブで確認できます。
![QRadar の[Forwarding Destination Properties]ウィンドウ。](qradar_forwarding_destination.png)
転送先の追加
- [Save]をクリックします。
- [Admin]→[Routing rules]→[Add]を選択します。
- [Routing Rule]ウィンドウで、ルール名(
KL_Threat_Feed_Service_v2_Ruleなど)を入力します。 - モードに[
Online]を選択します。 - [Forwarding Event Collector]ドロップダウンリストの値は既定のままにします。
- データソースに[
Events]を選択します。 - [Event Filters]グループで、イベントフィルターを設定します。
[
KL_Verification_Tool]と一緒にログソースを選択し、フィルターで[Equals any of]演算子を使用します。また、サービスが最大限のパフォーマンスを発揮できるよう、フィード内を検索するインジケーター(URL、ハッシュ(MD5、SHA1、SHA256)、IP アドレスなど)を含むイベントのみを選択することを推奨します。Kaspersky CyberTrace サービスから受信した検知イベントが Kaspersky CyberTrace サービスに戻されないよう、[Match all incoming events]をオフにするか、オフのままにします。
- [Forward]をオンにします。表の[Name]列の隣の列で、ステップ 1 で追加した項目(この場合
KL_Threat_Feed_Service_v2)の横のチェックボックスをオンにします。![QRadar の[Routing Rule]ウィンドウ。](qradar_adding_routing_rule1.png)
ルーティングルールの追加
- [Save]をクリックします。
JSON 形式のイベント設定に関する推奨事項
多数のバージョンの QRadar(7.3.2 パッチ 6、7.4.0 など)において、JSON 形式の一部の転送済みイベントが削除される場合があり、それによって誤った結果が生じることがあります。これを回避するために、JSON 形式のイベントから一部のフィールドを除外することを推奨します(そのようなフィールドの完全なリストについては、IBM の QRadar サポートチームに問い合わせるか、手動での確認を試行します)。詳細な正規化ルールを Kaspersky CyberTrace Web で指定する必要があります(以下参照)。
そのため、Payload 形式のイベントに必須フィールドが含まれていない場合は、Payload 形式ではなく JSON 形式を使用します。その場合、以下の条件を満たしていることを確認します:
- [Forwarding Destination Properties]ウィンドウで、必要なフィールドのみが選択されています。QRadar は転送済みのイベントを削除しません。転送されるフィールドをイベント内で有効化または無効化するには、[Profile]フィールドの隣にあるボタンをクリックして[Forwarding Profile Properties]ウィンドウを開きます。
JSON 形式のイベントの設定
- Kaspersky CyberTrace Web の[Settings]→[Matching]タブで、以下の正規化ルールが指定されています:
![CyberTrace の[Normalization rules]ウィンドウ。](configuring_additional_normalizing_rules.png)
詳細な正規化ルールの設定