ステップ 2:Kaspersky CyberTrace サービスから RSA NetWitness へのイベントの送信
このセクションでは、Kaspersky CyberTrace サービスがイベントを RSA NetWitness に送信するように設定する手順について説明します。
Kaspersky CyberTrace サービスはイベントを Log Decoder サービスに送信することに留意してください。
Kaspersky CyberTrace サービスから RSA NetWitness にイベントを送信するには:
- Kaspersky CyberTrace Web の[Settings]→[Service]タブにおいて、[Service sends events to]テキストボックスで以下の値を指定します:
[IP]:514ここで、
[IP]は Kaspersky CyberTrace サービスがイベントを送信する Log Decoder サービスの IP アドレスです。複数の Log Decoder サービスが存在する場合、1 つの Log Decoder のみと連携します。
- Log Decoder が実行されているコンピューターのディレクトリ
/etc/netwitness/ng/envision/etc/devicesで、サブディレクトリcybertraceを作成し、以下のファイルをディレクトリ%service_dir%/integration/rsa/cybertraceからサブディレクトリにコピーします:- cybertrace.ini
このファイルは、Kaspersky CyberTrace サービスの宣言を含む RSA NetWitness 用の設定情報ファイルです。
- v20_cybertracemsg.xml
このファイルは、Kaspersky CyberTrace サービスから RSA NetWitness に送信されるイベントの解析ルールを含む設定情報ファイルです。内容についての説明は、このセクションの下部を参照してください。
これらのファイルは、配布キットのディレクトリ
integration/rsa/cybertraceにあります。 - cybertrace.ini
- Log Decoder を再起動します。
再起動するには、[Services]ビューで、選択した Log Decoder の[Settings]スプリットボタン(
![RSA NetWitness の[Settings]スプリットボタン。](rsasa200203.png)
)をクリックし、ドロップダウンリストで[Restart]を選択します。 cybertraceサービスパーサーが RSA NetWitness でオンになっていることを確認します。次のように確認できます:
- RSA NetWitness のメニューで、[Administration]→[Services]の順に選択します。
- [Services]グリッドで Log Decoder を選択し、[Actions]メニューで[View]→[Config]の順に選択します。
- [Service Parsers Configuration]パネルで[cybertrace]を検索し、この行の[Config Value]フィールドがオンになっていることを確認します。
![RSA NetWitness の[Service Parsers Configuration]ウィンドウ。](rsa_service_parsers_configuration.png)
サービスパーサー構成グリッド
- Kaspersky CyberTrace サービスを再起動します。
次のように kl_feed_service スクリプトを実行することで、Kaspersky CyberTrace サービスを再起動できます:
systemctl restart cybertrace.service
連携ファイルの内容
ファイル v20_cybertracemsg.xml には、Kaspersky CyberTrace サービスから送信されたサービスイベントを解析するための以下のルールが含まれます:
alert=<action>,context=<msg> |
ファイル v20_cybertracemsg.xml には、Kaspersky CyberTrace サービスから送信された検知イベントを解析するための以下の複数のルールが含まれます:
- MATCH_EVENT:01—Botnet C&C URL Data Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:02—Malicious URL Data Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:03—Mobile Botnet C&C URL Data Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:04—Malicious Hash Data Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:05—Phishing URL Data Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:06—Ransomware URL Data Feed または IoT URL Data Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:07—IP Reputation Data Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:09—Mobile Malicious Hash Data Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:10—APT IP Feed と APT URL Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:11—Industrial Control Systems Data Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT:12—APT Hash Feed が検知プロセスに関与する場合に検知イベントを解析するためのルール。
- MATCH_EVENT—その他のフィードが検知プロセスに関与する場合に検知イベントを解析するためのルール。
ファイル cybertrace.ini とファイル v20_cybertracemsg.xml のフィールドは、Kaspersky CyberTrace サービスから送信されたサービスイベントと検知イベントの以下の形式と対応しています:
<AlertFormat><![CDATA[<232>%CyberTrace:ALERT_EVENT alert=%Alert%,context=%RecordContext%]]></AlertFormat> <232>%CyberTrace:MATCH_EVENT category=%Category%,detected=%MatchedIndicator%,url=%RE_URL%,hash=%RE_HASH%,dst=%DST_IP%,src=%SRC_IP%,dvc=%DeviceIp%,dev_name=%Device%,dev_action=%DeviceAction%,user=%UserName%,actF:%ActionableFields%,context=%RecordContext% |
ファイル v20_cybertracemsg.xml では、Kaspersky CyberTrace サービスから送信されたイベントの形式は、[HEADER/content]要素と[MESSAGE/content]要素で提供されます。Log Decoder および Concentrator のインデックスファイルに、virusname、url、checksum、ip.src、ip.dst の各フィールドがあることを確認してください。[MESSAGE/content]要素における virusname、url、checksum、ip.src、ip.dst 以外のフィールドに関しては、Log Decoder と Concentrator のインデックスファイルで使用する場合もあれば、使用しない場合もあります。さらに、ファイル table-map-custom.xml 内のこれらの各フィールドで、flags 属性の値が None であることを確認してください。これらの条件のいずれかが満たされていない場合は、「RSA NetWitness のトラブルシューティング」を参照してください。
以下の各表では、ファイル v20_cybertracemsg.xml と kl_feed_service.conf で使用されるフィールドと、一方のファイルのフィールドと他方のファイルのフィールドがどのように対応しているかについて説明します。検知イベントで新しいフィールドを常時使用することを希望する場合は、担当のテクニカルアカウントマネージャー(TAM)にお問い合わせください。
- サービスイベントのフィールド
kl_feed_service.conf のフィールド
v20_cybertracemsg.xml のフィールド
説明
<232>
-
RSA NetWitness 用のサービス文字列。
%CyberTrace:
%CyberTrace:
Kaspersky CyberTrace サービスからイベントが送信されたことを RSA NetWitness に通知します。
ALERT_EVENT
<messageid>
イベントタイプ。
-
<!payload>
イベントに追加情報が含まれていることを RSA NetWitness に通知します。追加情報の形式は、[
MESSAGE/content]要素で提供されます。%Alert%
<action>
サービスイベント(KL_ALERT_ServiceStarted など)。
%RecordContext%
<msg>
サービスイベントに関する背景情報。
- 検知イベントのフィールド
kl_feed_service.conf のフィールド
v20_cybertracemsg.xml のフィールド
説明
<232>
-
RSA NetWitness 用のサービス文字列。
%CyberTrace:
%CyberTrace:
Kaspersky CyberTrace サービスからイベントが送信されたことを RSA NetWitness に通知します。
MATCH_EVENT
<messageid>
イベントタイプ。
-
<!payload>
イベントに追加情報が含まれていることを RSA NetWitness に通知します。追加情報の形式は、[
MESSAGE/content]要素で提供されます。%Category%
<virusname>
検知されたオブジェクトのカテゴリ。
%MatchedIndicator%
<kl_detected_indicator%gt;
検知されたインジケーター。
%RE_URL%
<url>
RSA NetWitness からのイベントで指定された URL。
%RE_HASH%
<checksum>
RSA NetWitness からのイベントで指定されたハッシュ。
%DST_IP%
<daddr>
リクエストの送信先の IP アドレス。
%SRC_IP%
<saddr>
リクエストの送信元の IP アドレス。
%DeviceIp%
<hostip>
イベントの送信元の IP アドレス。
%Device%
<event_source>
イベントを送信したデバイスの名前。
%DeviceAction%
<action>
デバイスが実行した動作。
%UserName%
<c_username>
イベントで示される動作が実行されるアカウントのユーザー名。
%ActionableFields%
フィールドの名前については、このセクションで後ほど説明します。
検知プロセスに関与するフィードレコードのフィールド。背景情報とは別に表示されます。
%RecordContext%
<fld1>
検知プロセスに関与するフィードレコードの背景情報。
このフィールドの内容を表示するには、RSA NetWitness でイベントを開き、[View Log]タブを選択します。
%Confidence%
<kl_confidence>
フィードのインジケーターの信頼性レベル(パーセンテージ)。
以下の各表では、フィードとファイル v20_cybertracemsg.xml で使用される入力可能フィールドと、フィードのフィールドとファイルのフィールドがどのように対応しているかについて説明します:
- Botnet C&C URL Data Feed と Demo Botnet C&C URL Data Feed
フィードのフィールド
v20_cybertracemsg.xml のフィールド
mask
kl_mask
first_seen
kl_first_seen
last_seen
kl_last_seen
popularity
kl_popularity
threat
kl_threat
- Malicious Hash Data Feed と Demo Malicious Hash Data Feed
フィードのフィールド
v20_cybertracemsg.xml のフィールド
MD5
kl_md5
SHA1
kl_sha1
SHA256
kl_sha256
first_seen
kl_first_seen
last_seen
kl_last_seen
popularity
kl_popularity
file_type
kl_file_type
file_size
kl_file_size
threat
kl_threat
- IP Reputation Data Feed と Demo IP Reputation Data Feed
フィードのフィールド
v20_cybertracemsg.xml のフィールド
ip
kl_ip
first_seen
kl_first_seen
last_seen
kl_last_seen
popularity
kl_popularity
threat_score
kl_threat_score
category
kl_category
threat
kl_threat
- Malicious URL Data Feed
フィードのフィールド
v20_cybertracemsg.xml のフィールド
mask
kl_mask
first_seen
kl_first_seen
last_seen
kl_last_seen
popularity
kl_popularity
files/threat
kl_threat
category
kl_category
- Mobile Malicious Hash Data Feed
フィードのフィールド
v20_cybertracemsg.xml のフィールド
MD5
kl_md5
SHA1
kl_sha1
SHA256
kl_sha256
first_seen
kl_first_seen
last_seen
kl_last_seen
popularity
kl_popularity
threat
kl_threat
file_size
kl_file_size
- Phishing URL Data Feed
フィードのフィールド
v20_cybertracemsg.xml のフィールド
mask
kl_mask
first_seen
kl_first_seen
last_seen
kl_last_seen
popularity
kl_popularity
industry
kl_industry
- Mobile Botnet C&C URL Data Feed
フィードのフィールド
v20_cybertracemsg.xml のフィールド
threat
kl_threat
- Ransomware URL Data Feed または IoT URL Data Feed
フィードのフィールド
v20_cybertracemsg.xml のフィールド
mask
kl_mask
first_seen
kl_first_seen
last_seen
kl_last_seen
popularity
kl_popularity
- APT IP feeds と APT URL feeds
フィードのフィールド
v20_cybertracemsg.xml のフィールド
detection_date
kl_detect_date
publication_name
kl_pub_name
- APT Hash feeds
フィードのフィールド
v20_cybertracemsg.xml のフィールド
detection_date
kl_detect_date
publication_name
kl_pub_name
SHA1
kl_sha1
SHA256
kl_sha256
- Industrial Control Systems Data Feed
フィードのフィールド
v20_cybertracemsg.xml のフィールド
first_seen
kl_first_seen
popularity
kl_popularity