ステップ 1:RSA NetWitness からのイベントの転送

このセクションでは、受信したイベントを Kaspersky CyberTrace サービスに転送するように RSA NetWitness を設定する方法について説明します。

RSA NetWitness から Kaspersky CyberTrace サービスにイベントを転送するには:

  1. RSA NetWitness のメインウィンドウで、RSA NetWitness 管理者アイコン。Admin)→[System]の順に選択します。
  2. 以下の[Services]テーブルで、該当の Log Decoder(URL、ハッシュ、または IP アドレスを含むイベントを受信する Log Decoder)を選択します。

    RSA NetWitness の[Services]ウィンドウ。Log Decoder の選択。

    Log Decoder の選択

    イベントの受信に複数の Log Decoder が使用されている場合、各 Log Decoder に対して以下のステップを繰り返します。

  3. 選択した Log Decoder の[Actions]列で、[Settings]スプリットボタン(RSA NetWitness の[Settings]スプリットボタン。)を選択し、ドロップダウンリストで[View]→[Config]の順に選択します。
  4. App Rules]タブを選択し、[Add](RSA NetWitness のプラス記号。)をクリックします。

    Rule Editor]ウィンドウが表示されます。

  5. 以下のデータを指定します:
    • Rule Namecybertrace
    • Conditiondevice.type='%DEVICE_NAME_1%'

      これは条件の例です。ここで、%DEVICE_NAME_1% という文字列は、そのイベントが Kaspersky CyberTrace サービスに送信される必要があるデバイスの名前を表します。以下は、Cisco™ ASA および Check Point Firewall からどのイベントが Kaspersky CyberTrace サービスに送信される必要があるかに基づく別の条件例です:

      device.type='ciscoasa' || device.type='checkpointfw1'

      あるイベントがここで指定した条件を満たす場合、そのイベントは Kaspersky CyberTrace サービスに送信されます。

    • Alert:オン
    • Forward:オン

    RSA NetWitness の[Rule Editor]ウィンドウ。

    [Rule Editor]ウィンドウ

    ルールの作成方法の詳細は、https://community.rsa.com/t5/rsa-netwitness-platform-online/configure-application-rules/ta-p/592148 を参照してください。

  6. OK]をクリックします。
  7. Apply]をクリックします。
  8. Log Decoder の名前の隣で、[Config]→[Explore]の順に選択します。
  9. 宛先を選択します:
    • RSA NetWitness バージョン 11.2 以降の場合:

      /decoder/config/logs.forwarding.destination パラメータで以下の宛先を指定します:

      cybertrace=tcp:[IP]:[port]:rfc3164

      ここで、[IP] は Kaspersky CyberTrace サービスがインストールされているコンピューターの IP アドレス、[port] は Kaspersky CyberTrace サービスがイベントをリッスンするポートです(既定ではポート 9999 が使用されます)。IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings][Service]タブで指定したものと同じです。

    • RSA NetWitness 11.2 以前のバージョンの場合:
      1. /decoder/config/logs.forwarding.destination パラメーターで以下の宛先を指定します:

        cybertrace=tcp:[IP]:[port]

        ここで、[IP] は Kaspersky CyberTrace サービスがインストールされているコンピューターの IP アドレス、[port] は Kaspersky CyberTrace サービスがイベントをリッスンするポートです(既定ではポート 9999 が使用されます)。IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings][Service]タブで指定したものと同じです。

      2. Kaspersky CyberTrace サービスの設定情報ファイルEventDelimeter パラメータで値 <![CDATA[(\<\d+\>)]]> を指定します。

    RSA NetWitness のログイベントの転送設定。

    ログイベントの転送設定

  10. /decoder/config/logs.forwarding.enabled パラメータで true を指定します。

これらの手順を実行すると、RSA NetWitness は、cybertrace ルールを満たすイベントを、logs.forwarding.destination パラメータで指定したアドレスに転送するようになります。

イベントの転送についての詳細は、https://community.rsa.com/t5/rsa-netwitness-platform-online/decoder-configure-syslog-forwarding-to-destination/ta-p/572084 を参照してください。

ページのトップに戻る