Kaspersky CyberTrace Web ユーザーインターフェイスでは、[Settings]タブ→[Events format]タブの順に選択することで、イベント形式の設定を管理できます。ウィンドウの左上に表示されている、使用可能なテナントがすべて含まれているドロップダウンリストでの選択内容に応じて、一般的なイベント形式の設定([General]が選択されている場合)、または特定の設定のテナントにおけるイベント形式の設定(特定の設定のテナントが選択されている場合)のいずれかを編集します。
Kaspersky CyberTrace のイベント形式
[Events format]タブで、検知イベント、アラートイベント、レコードの背景情報、および入力可能フィールドの背景情報の形式を指定できます。イベント形式パターンを確認してください。
イベント形式を手動で変更することは推奨しません。送信イベントで使用したいパターンのチェックボックスをオンにすると、形式が Kaspersky CyberTrace によって自動的に更新されます。
イベントソースによっては、現在の連携に応じてイベント形式を変更しなければならない場合があります(詳細は、以下を参照してください)。
このタブには、次のテキストフィールドがあります:
このセクションは次の 2 つのサブセクションで構成されます:
これらのフィールドの値は、Kaspersky CyberTrace によって生成されるパターンです。
送信検知イベントで使用したいパターンのチェックボックスをオンにします。Kaspersky CyberTrace によって形式が自動的に更新されます。
これらのフィールドの値は、イベントソースに定義された正規表現を使用して受信イベントから抽出されます。
送信検知イベントで使用したいパターンのチェックボックスをオンにします。Kaspersky CyberTrace によって形式が自動的に更新されます。
特定の SIEM ソリューションにおけるイベント形式の設定
アラートイベントと検知イベントの適切な形式は、お使いの SIEM ソリューションによって異なります。CyberTrace でイベントの形式を変更する場合、SIEM ソリューションとの連携も更新しなければならない場合があります。
ArcSight の場合:
QRadar の場合:
RSA NetWitness の場合:
LogRhythm の場合: