このセクションでは、Kaspersky CyberTrace サービスがイベントを RSA NetWitness に送信するように設定する手順について説明します。
Kaspersky CyberTrace サービスはイベントを Log Decoder サービスに送信することに留意してください。
Kaspersky CyberTrace サービスから RSA NetWitness にイベントを送信するには:
[IP]:514
ここで、[IP]
は Kaspersky CyberTrace サービスがイベントを送信する Log Decoder サービスの IP アドレスです。
複数の Log Decoder サービスが存在する場合、1 つの Log Decoder のみと連携します。
/etc/netwitness/ng/envision/etc/devices
で、サブディレクトリ cybertrace
を作成し、以下のファイルをディレクトリ %service_dir%/integration/rsa/cybertrace
からサブディレクトリにコピーします:このファイルは、Kaspersky CyberTrace サービスの宣言を含む RSA NetWitness 用の設定情報ファイルです。
このファイルは、Kaspersky CyberTrace サービスから RSA NetWitness に送信されるイベントの解析ルールを含む設定情報ファイルです。内容についての説明は、このセクションの下部を参照してください。
これらのファイルは、配布キットのディレクトリ integration/rsa/cybertrace
にあります。
再起動するには、[Services]ビューで、選択した Log Decoder の[Settings]スプリットボタン()をクリックし、ドロップダウンリストで[Restart]を選択します。
cybertrace
サービスパーサーが RSA NetWitness でオンになっていることを確認します。次のように確認できます:
サービスパーサー構成グリッド
次のように kl_feed_service スクリプトを実行することで、Kaspersky CyberTrace サービスを再起動できます:
systemctl restart cybertrace.service
連携ファイルの内容
ファイル v20_cybertracemsg.xml には、Kaspersky CyberTrace サービスから送信されたサービスイベントを解析するための以下のルールが含まれます:
alert=<action>,context=<msg> |
ファイル v20_cybertracemsg.xml には、Kaspersky CyberTrace サービスから送信された検知イベントを解析するための以下の複数のルールが含まれます:
ファイル cybertrace.ini とファイル v20_cybertracemsg.xml のフィールドは、Kaspersky CyberTrace サービスから送信されたサービスイベントと検知イベントの以下の形式と対応しています:
<AlertFormat><![CDATA[<232>%CyberTrace:ALERT_EVENT alert=%Alert%,context=%RecordContext%]]></AlertFormat> <232>%CyberTrace:MATCH_EVENT category=%Category%,detected=%MatchedIndicator%,url=%RE_URL%,hash=%RE_HASH%,dst=%DST_IP%,src=%SRC_IP%,dvc=%DeviceIp%,dev_name=%Device%,dev_action=%DeviceAction%,user=%UserName%,actF:%ActionableFields%,context=%RecordContext% |
ファイル v20_cybertracemsg.xml では、Kaspersky CyberTrace サービスから送信されたイベントの形式は、[HEADER/content
]要素と[MESSAGE/content
]要素で提供されます。Log Decoder および Concentrator のインデックスファイルに、virusname
、url
、checksum
、ip.src
、ip.dst
の各フィールドがあることを確認してください。[MESSAGE/content
]要素における virusname
、url
、checksum
、ip.src
、ip.dst
以外のフィールドに関しては、Log Decoder と Concentrator のインデックスファイルで使用する場合もあれば、使用しない場合もあります。さらに、ファイル table-map-custom.xml 内のこれらの各フィールドで、flags
属性の値が None
であることを確認してください。これらの条件のいずれかが満たされていない場合は、「RSA NetWitness のトラブルシューティング」を参照してください。
以下の各表では、ファイル v20_cybertracemsg.xml と kl_feed_service.conf で使用されるフィールドと、一方のファイルのフィールドと他方のファイルのフィールドがどのように対応しているかについて説明します。検知イベントで新しいフィールドを常時使用することを希望する場合は、担当のテクニカルアカウントマネージャー(TAM)にお問い合わせください。
kl_feed_service.conf のフィールド |
v20_cybertracemsg.xml のフィールド |
説明 |
<232> |
- |
RSA NetWitness 用のサービス文字列。 |
%CyberTrace: |
%CyberTrace: |
Kaspersky CyberTrace サービスからイベントが送信されたことを RSA NetWitness に通知します。 |
ALERT_EVENT |
<messageid> |
イベントタイプ。 |
- |
<!payload> |
イベントに追加情報が含まれていることを RSA NetWitness に通知します。追加情報の形式は、[ |
%Alert% |
<action> |
サービスイベント(KL_ALERT_ServiceStarted など)。 |
%RecordContext% |
<msg> |
サービスイベントに関する背景情報。 |
kl_feed_service.conf のフィールド |
v20_cybertracemsg.xml のフィールド |
説明 |
<232> |
- |
RSA NetWitness 用のサービス文字列。 |
%CyberTrace: |
%CyberTrace: |
Kaspersky CyberTrace サービスからイベントが送信されたことを RSA NetWitness に通知します。 |
MATCH_EVENT |
<messageid> |
イベントタイプ。 |
- |
<!payload> |
イベントに追加情報が含まれていることを RSA NetWitness に通知します。追加情報の形式は、[ |
%Category% |
<virusname> |
検知されたオブジェクトのカテゴリ。 |
%MatchedIndicator% |
<kl_detected_indicator%gt; |
検知されたインジケーター。 |
%RE_URL% |
<url> |
RSA NetWitness からのイベントで指定された URL。 |
%RE_HASH% |
<checksum> |
RSA NetWitness からのイベントで指定されたハッシュ。 |
%DST_IP% |
<daddr> |
リクエストの送信先の IP アドレス。 |
%SRC_IP% |
<saddr> |
リクエストの送信元の IP アドレス。 |
%DeviceIp% |
<hostip> |
イベントの送信元の IP アドレス。 |
%Device% |
<event_source> |
イベントを送信したデバイスの名前。 |
%DeviceAction% |
<action> |
デバイスが実行した動作。 |
%UserName% |
<c_username> |
イベントで示される動作が実行されるアカウントのユーザー名。 |
%ActionableFields% |
フィールドの名前については、このセクションで後ほど説明します。 |
検知プロセスに関与するフィードレコードのフィールド。背景情報とは別に表示されます。 |
%RecordContext% |
<fld1> |
検知プロセスに関与するフィードレコードの背景情報。 このフィールドの内容を表示するには、RSA NetWitness でイベントを開き、[View Log]タブを選択します。 |
%Confidence% |
<kl_confidence> |
フィードのインジケーターの信頼性レベル(パーセンテージ)。 |
以下の各表では、フィードとファイル v20_cybertracemsg.xml で使用される入力可能フィールドと、フィードのフィールドとファイルのフィールドがどのように対応しているかについて説明します:
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
mask |
kl_mask |
first_seen |
kl_first_seen |
last_seen |
kl_last_seen |
popularity |
kl_popularity |
threat |
kl_threat |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
MD5 |
kl_md5 |
SHA1 |
kl_sha1 |
SHA256 |
kl_sha256 |
first_seen |
kl_first_seen |
last_seen |
kl_last_seen |
popularity |
kl_popularity |
file_type |
kl_file_type |
file_size |
kl_file_size |
threat |
kl_threat |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
ip |
kl_ip |
first_seen |
kl_first_seen |
last_seen |
kl_last_seen |
popularity |
kl_popularity |
threat_score |
kl_threat_score |
category |
kl_category |
threat |
kl_threat |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
mask |
kl_mask |
first_seen |
kl_first_seen |
last_seen |
kl_last_seen |
popularity |
kl_popularity |
files/threat |
kl_threat |
category |
kl_category |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
MD5 |
kl_md5 |
SHA1 |
kl_sha1 |
SHA256 |
kl_sha256 |
first_seen |
kl_first_seen |
last_seen |
kl_last_seen |
popularity |
kl_popularity |
threat |
kl_threat |
file_size |
kl_file_size |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
mask |
kl_mask |
first_seen |
kl_first_seen |
last_seen |
kl_last_seen |
popularity |
kl_popularity |
industry |
kl_industry |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
threat |
kl_threat |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
mask |
kl_mask |
first_seen |
kl_first_seen |
last_seen |
kl_last_seen |
popularity |
kl_popularity |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
detection_date |
kl_detect_date |
publication_name |
kl_pub_name |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
detection_date |
kl_detect_date |
publication_name |
kl_pub_name |
SHA1 |
kl_sha1 |
SHA256 |
kl_sha256 |
フィードのフィールド |
v20_cybertracemsg.xml のフィールド |
first_seen |
kl_first_seen |
popularity |
kl_popularity |