このセクションでは、受信したイベントを Kaspersky CyberTrace サービスに転送するように RSA NetWitness を構成する方法について説明します。
RSA NetWitness から Kaspersky CyberTrace サービスにイベントを転送するには:
Log Decoder の選択
イベントの受信に複数の Log Decoder が使用されている場合、各 Log Decoder に対して以下のステップを繰り返します。
[Rule Editor]ウィンドウが表示されます。
cybertrace
device.type='%DEVICE_NAME_1%'
これは条件の例です。ここで、%DEVICE_NAME_1%
という文字列は、そのイベントが Kaspersky CyberTrace サービスに送信される必要があるデバイスの名前を表します。以下は、Cisco™ ASA および Check Point Firewall からどのイベントが Kaspersky CyberTrace サービスに送信される必要があるかに基づく別の条件例です:
device.type='ciscoasa' || device.type='checkpointfw1'
あるイベントがここで指定した条件を満たす場合、そのイベントは Kaspersky CyberTrace サービスに送信されます。
[Rule Editor]ウィンドウ
ルールの作成方法についての詳細は、https://community.rsa.com/t5/rsa-netwitness-platform-online/configure-application-rules/ta-p/592148 を参照してください。
/decoder/config/logs.forwarding.destination パラメータで以下の宛先を指定します:
cybertrace=tcp:[IP]:[port]:rfc3164
ここで、[IP]
は Kaspersky CyberTrace サービスがインストールされているコンピューターの IP アドレス、[port]
は Kaspersky CyberTrace サービスがイベントをリッスンするポートです(既定ではポート 9999
が使用されます)。IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings]→[Service]タブで指定したものと同じです。
cybertrace=tcp:[IP]:[port]
ここで、[IP]
は Kaspersky CyberTrace サービスがインストールされているコンピューターの IP アドレス、[port]
は Kaspersky CyberTrace サービスがイベントをリッスンするポートです(既定ではポート 9999
が使用されます)。IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings]→[Service]タブで指定したものと同じです。
<![CDATA[(\<\d+\>)]]>
を指定します。ログイベントの転送設定
true
を指定します。これらの手順を実行すると、RSA NetWitness は、cybertrace
ルールを満たすイベントを、logs.forwarding.destination
パラメータで指定したアドレスに転送するようになります。
イベントの転送についての詳細は、https://community.rsa.com/t5/rsa-netwitness-platform-online/decoder-configure-syslog-forwarding-to-destination/ta-p/572084 を参照してください。
ページのトップに戻る