Kaspersky CyberTrace の配布キットでは、ディレクトリ integration/rsa/additional_elements
にファイル CyberTrace_Rules.zip があります。このファイルには、レポート、アラート、およびダッシュボードの作成に使用できるルール一式が含まれています。
Kaspersky CyberTrace サービスルールを RSA NetWitness にインポートするには:
RSA NetWitness 11 の場合は、[Monitor]→[Reports]の順に選択します。
ルールのインポート
ファイル CyberTrace_Rules.zip を初めてインポートする場合は、これらのチェックボックスはオフのままでも構いません。
Kaspersky CyberTrace サービスルールのインポート
以下の表に、RSA NetWitness にインポートされるルールが記載されています。
ルール |
Description |
CyberTrace Detect Botnet |
Kaspersky CyberTrace サービスから送信された、ボットネットカテゴリがある検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Malware Hash |
Kaspersky CyberTrace サービスから送信されたハッシュ検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Malware IP |
Kaspersky CyberTrace サービスから送信された IP アドレス検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Malware URL |
Kaspersky CyberTrace サービスから送信された URL 検知イベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detect Stat |
検知プロセスに関与するすべてのカテゴリを選択します。 以下のフィールドが選択されます:
|
CyberTrace Service events |
Kaspersky CyberTrace サービスから送信されたサービスイベントを選択します。 以下のフィールドが選択されます:
|
CyberTrace Top 10 IP |
検知された上位 10 個の IP アドレスを選択します。 以下のフィールドが選択されます:
|
CyberTrace Top 10 URL |
検知された上位 10 個の URL を選択します。 以下のフィールドが選択されます:
|
CyberTrace Top 10 Hash |
検知された上位 10 個のハッシュを選択します。 以下のフィールドが選択されます:
|
CyberTrace Detected users |
ユーザーごとの検知イベント数を計算します。 |