このセクションでは、Kaspersky CyberTrace サービスに転送するイベントを ArcSight でフィルタリングする方法について説明します。
ARB パッケージからインポートされるフィルター
ARB パッケージのインポート後、ArcSight には、Kaspersky CyberTrace サービスに転送するイベントのフィルタリングに使用される[CyberTrace forwarding events
]フィルターがあります。
元の[CyberTrace forwarding events
]フィルターでは、次のベンダーのいずれかのデバイスによって送信された[Destination Address
]フィールドの IP アドレス、[Request URL
]フィールドの URL、または[fileHash
]フィールドのハッシュを含んだイベントが選択されます:
また、元の[CyberTrace forwarding events
]フィルターで選択されたイベントは、次の条件のいずれかを満たす必要があります:
Source Address
]フィールドまたは[Source Host Name
]フィールドが空ではなく、[Destination Address
]フィールドがサブネット 192.168.0.0/16
、172.16.0.0/12
、または 10.0.0.0/8
ではない。Destination Address
]フィールドまたは[Destination Host Name
]フィールドが空ではなく、[Source Address
]フィールドがサブネット 192.168.0.0/16
、172.16.0.0/12
、または 10.0.0.0/8
ではない。Request URL
]フィールドに URL が含まれている。fileHash
]フィールドにハッシュが含まれている。元の[CyberTrace forwarding events
]フィルターを使用すると、ArcSight ESM のパフォーマンスが大幅に低下します。コンピューター ArcSight ESM の負荷を軽減するには、送信するイベント数を減らすかチェック回数を減らすようにフィルターを編集してください。たとえば、イベントが ArcSight に送信されないベンダーや Kaspersky CyberTrace サービスによるチェックが不要なイベントのベンダーをフィルターから削除できます。
既存のフィルターのチェック
場合によっては、目的のイベントが既存のフィルターによって選択されているかどうかをチェックすることが必要です。
目的のイベントが既存のフィルターによって選択されているかどうかをチェックするには:
[Filters]ツリーのフィルターノードを右クリックして、[Create Channel with Filter]を選択します。
チャネルの作成
時間間隔の設定
たとえば、表示するイベントのデバイスベンダー、デバイス製品、または両方を設定できます。
インラインフィルターの設定
既存のフィルターの編集
場合によっては既存のフィルターを変更する必要があります。たとえば、特定のデバイスベンダーからのイベントがアクティブチャネルに表示されない場合は、デバイスベンダーをフィルタリングするフィルターの条件にそのデバイスベンダーを追加できます。
デバイスベンダーをフィルターに追加するには:
[Event conditions]ツリー項目にネストされているフィルター条件が表示されます。
フィルター条件
ArcSight でのイベント情報の閲覧
出力イベントのフィルタリングや追加用のフィールドを選択するために、イベントに含まれている情報を閲覧することができます。
ArcSight でイベント情報を閲覧するには:
アクティブチャネルで、Kaspersky CyberTrace サービスに転送するイベントをダブルクリックします。
ArcSight コンソールに、イベントデータが含まれる[Event Inspector]タブが表示されます。
[Event Inspector]タブ
ArcSight と Kaspersky CyberTrace サービスは CEF 形式でイベントを扱いますが、ArcSight コンソールには、人が読める形式でイベントフィールド名が表示されます。次の表では、これらの 2 セットのフィールド名の一部を対応させています。
CEF 形式のフィールド名と ArcSight コンソールに表示されるフィールド名
CEF 形式のフィールド名 |
ArcSight コンソールに表示されるフィールド名 |
dst |
Destination Address |
dvc |
Device Address |
msg |
Message |
shost |
Source Host Name |