イベント形式の設定
Kaspersky CyberTrace Web ユーザーインターフェイスでは、[Settings]タブ→[Events format]タブの順に選択することで、イベント形式の設定を管理できます。ウィンドウの左上に表示されている、使用可能なテナントがすべて含まれているドロップダウンリストでの選択内容に応じて、一般的なイベント形式の設定([General]が選択されている場合)、または特定の設定のテナントにおけるイベント形式の設定(特定の設定のテナントが選択されている場合)のいずれかを編集します。
![[Format of CyberTrace events]セクション。](cybertrace_events_formats_2020.png)
Kaspersky CyberTrace のイベント形式
[Events format]タブで、検知イベント、アラートイベント、レコードの背景情報、および入力可能フィールドの背景情報の形式を指定できます。イベント形式パターンを確認してください。
イベント形式を手動で変更することは推奨しません。送信イベントで使用したいパターンのチェックボックスをオンにすると、形式が Kaspersky CyberTrace によって自動的に更新されます。
イベントソースによっては、現在の連携に応じてイベント形式を変更しなければならない場合があります(詳細は、以下を参照してください)。
このタブには、次のテキストフィールドがあります:
- Alert events format—イベントターゲットソフトウェアに Kaspersky CyberTrace サービスの状態を通知する送信イベントの形式を指定します。
- Detection events format—送信検知イベントの形式を指定します。
このセクションは次の 2 つのサブセクションで構成されます:
- Service fields
これらのフィールドの値は、Kaspersky CyberTrace によって生成されるパターンです。
送信検知イベントで使用したいパターンのチェックボックスをオンにします。Kaspersky CyberTrace によって形式が自動的に更新されます。
- Values extracted from the event
これらのフィールドの値は、イベントソースに定義された正規表現を使用して受信イベントから抽出されます。
送信検知イベントで使用したいパターンのチェックボックスをオンにします。Kaspersky CyberTrace によって形式が自動的に更新されます。
- Service fields
- Records context format—送信イベントにフィードフィールドの名前と値が挿入される形式を指定します。
- Actionable fields context format—送信イベントに入力可能なフィードフィールドの名前と値が挿入される形式を指定します。
特定の SIEM ソリューションにおけるイベント形式の設定
アラートイベントと検知イベントの適切な形式は、お使いの SIEM ソリューションによって異なります。CyberTrace でイベントの形式を変更する場合、SIEM ソリューションとの連携も更新しなければならない場合があります。
ArcSight の場合:
- イベントの形式と入力可能フィールドの更新が必要な場合があります。
QRadar の場合:
- 新しいフィールドの解析の追加が必要な場合があります。
RSA NetWitness の場合:
- 新しいフィールドの解析方法の指定が必要な場合があります(「RSA NetWitness のトラブルシューティング」も参照してください)。
LogRhythm の場合:
- 新しいフィールドの解析方法の指定が必要な場合があります。