このセクションでは、RSA NetWitness サービスが満たす必要がある要件について説明します。
以下の条件が満たされていることを確認します:
virusnameこのメタフィールドとその他のメタフィールド(msg は除く)には、レベル IndexValues が必要です。また、これらのメタフィールドの defaultAction 値を Open にします。
user.srcip.srcactionmsgファイル index-concentrator-custom.xml のこのメタフィールドには、レベル IndexKeys(イベントに存在するメタフィールドにインデックスが付いている)またはレベル IndexNone(メタフィールドにインデックスが付いていない)が必要です。このメタフィールドにレベル IndexValues を設定すると、ハードドライブの容量が急速に消費されます。
event.sourcedevice.ipip.dsturlchecksumこれらのフィールドのいずれかがインデックスファイルにない場合は、「RSA NetWitness のトラブルシューティング」セクションの説明に従って追加し、Concentrator を再起動します。
Concentrator がないものの、Kaspersky CyberTrace サービスから受信したデータの保存に Log Decoder を使用している場合は、上述のセクションに従ってファイル index-logdecoder-custom.xml を変更し、Log Decoder を再起動します。
Concentrator が Log Decoder からデータを受信する場合は、Concentrator のインデックスファイル(index-concentrator-custom.xml)のみを更新します。詳細は、https://community.rsa.com/docs/DOC-41760 を参照してください。また、イベントを検索するデータソースとして Log Decoder を使用する場合、またはレポートやダッシュボードの作成に Log Decoder を使用する場合も、Log Decoder のインデックスファイル(index-logdecoder-custom.xml)を更新します。
virusnamec_usernamesaddrdaddrurlchecksummsgevent_sourcehostipactionこれらの各メタフィールドの flags 属性の値は None でなければなりません。
これらのフィールドのいずれかがインデックスファイルにない場合は、「RSA NetWitness のトラブルシューティング」を参照してください。
Kaspersky CyberTrace サービスが送信した検知イベントは、フィードの背景情報を別のフィールドに保持します。RSA NetWitness でこれらのフィールドを表示して使用できます(RSA NetWitness では、これらのフィールド名の先頭に kl. が付きます)。
コンテキストフィールドを表示するには:
%service_dir%/integration/rsa/additional_elements/table-map-custom.xml の内容を、Kaspersky CyberTrace サービスが検知イベントを送信する Log Decoder のファイル table-map-custom.xml に追加します。%service_dir%/integration/rsa/additional_elements/index-concentrator-custom.xml の内容を、Kaspersky CyberTrace サービスから受信したイベントを保存する Concentrator のファイル index-concentrator-custom.xml に追加します。上述のすべての設定は、RSA NetWitness Web ユーザーインターフェイスを使用して、[Services](Log Decoder および Concentrator)→[Config]ビューで指定できます。
ファイル table-map-custom.xml および index-concentrator-custom.xml を編集したら、Log Decoder と Concentrator を再起動します。
ページのトップに戻る