このセクションでは、標準フィールドに加えて、Kaspersky CyberTrace の送信イベントからカスタムイベントプロパティを取得するための構成方法について説明します。この設定を行うと、MD5、SHA1、および SHA256 ハッシュが抽出され、ソース IP フィールドの抽出ルールが再定義されます。
カスタムイベントプロパティの取得を構成するには:
[Add Filter]フォームが表示されます。
Log Source [Indexed]
]を選択します。Equals
]を選択します。KL_Threat_Feed_Service_v2
]を選択します。選択した[KL_Threat_Feed_Service_v2
]はログソース名であり、Kaspersky CyberTrace サービス設定情報ファイルの[OutputSettings]→[EventFormat]
要素および[OutputSettings]→[AlertFormat]
要素で設定されています(Kaspersky CyberTrace Web を使用して設定することもできます)。
フィルターの追加
[Log Activity]ウィンドウ
[DSM Editor]ウィンドウが表示されます。
[DSM Editor]ウィンドウ
[Choose a Custom Property Definition to Express]フォームが表示されます。
カスタムプロパティの選択
[Create a new Custom Property Definition]フォームが表示されます。
MD5
」と入力します。Text
]を選択します。新しいカスタムプロパティ定義の作成
SHA1
]と[SHA256
]の各プロパティを追加します。Event Name
IP (custom)
MD5 (custom)
SHA1 (custom)
SHA256 (custom)
Source IP
URL (custom)
Username
[Update]をクリックします。
プレビューの列の構成
カスタムプロパティ |
Regular expression |
MD5 |
|
SHA1 |
|
SHA256 |
|
URL |
|
Source IP |
|
必要に応じて、 [Capture Group]フィールドに「1
」を入力します。
ソース IP の構成
Kaspersky CyberTrace で送信検知イベントの形式を変更する場合、それに伴い、上記で指定した正規表現の変更が必要になる場合があります。
上記の設定がすべて適切に指定されていれば、構成したカスタムプロパティが[Log Activity Preview]セクションに表示されます。
その後、KL_Threat_Feed_Service_v2
から受信したイベントを開くと、構成したカスタムプロパティが表示されます。
イベント情報