RSA NetWitness のトラブルシューティング

このセクションでは、実施可能な対策、および Kaspersky CyberTrace と RSA NetWitness の連携時に発生する可能性がある問題について説明します。

Kaspersky CyberTrace を使用していて問題が生じた場合は、カスペルスキーのスペシャリストがサポートします。問題の解決方法の詳細は、テクニカルアカウントマネージャー（TAM）にお問い合わせください。

RSA NetWitness から Kaspersky CyberTrace サービスにイベントが届いているかをチェックする

RSA NetWitness がイベントを Kaspersky CyberTrace サービスに送信しているかチェックする方法は複数あります：

• RSA NetWitness からのイベントの受信に関するメッセージが Kaspersky CyberTrace サービスログファイルにあるかどうかをチェックできます。

  その場合、Kaspersky CyberTrace サービスロギング設定情報ファイル（bin/kl_feed_service_log.conf）の WriteLog 要素に dbg という文字列が含まれている必要があります。

• netcat ユーティリティを使用して、RSA NetWitness がインストールされたコンピューターからイベントを送信した後、対応するメッセージが Kaspersky CyberTrace サービスログファイルに追加されているかチェックすることができます。
• Kaspersky CyberTrace サービスを停止し、netcat ユーティリティを使用して次のコマンドを実行することで、RSA NetWitness からのイベントをリッスンすることができます：

  nc -l -p [port] -s [IP]

  [IP] と [port] は、RSA NetWitness が Kaspersky CyberTrace サービスへのイベントを送信する IP アドレスとポートです。

• tcpdump ユーティリティを使用して、RSA NetWitness からのイベントが到着するポートをリッスンすることができます。

  次のコマンドを使用して tcpdump ユーティリティを実行すると、ユーティリティはポート [port] をリッスンします：

  tcpdump -neX port [port]

  tcpdump ユーティリティは実行されているオペレーティングシステムに応じて、別のフラグ（-neX ではない）を使用する可能性があります。

RSA NetWitness からイベントが届かない場合、次のことをチェックしてください：

• 「RSA NetWitness からのイベントの転送」セクションにあるすべてのステップが正しく実行されているかチェックします。
• ソースデバイスから RSA NetWitness にイベントが届いているかチェックします。

  RSA NetWitness から Kaspersky CyberTrace サービスにイベントが送信されているかをチェックする方法と同じ方法でチェックできます。

• RSA NetWitness がインストールされたコンピューターから、Kaspersky CyberTrace サービスがインストールされたコンピューターにアクセスできるかチェックします。

  ping ユーティリティを使用してチェックできます。

Kaspersky CyberTrace サービスが Kaspersky Threat Data Feeds に対してイベントを照合しているかチェックする

Kaspersky CyberTrace サービスログファイルを使用して、イベントの URL フィールド、ハッシュフィールド、IP アドレスフィールドが Kaspersky Threat Data Feeds に対して照合されているかチェックすることができます。ログファイルには、次の例にあるようなメッセージが含まれている必要があります。

2016/07/25 20:16:30.162 DBG 0x7f99a6999700 UrlMatchingEngine.Normalized url: http://dbotnet.com/get.php?id=2&p=4 2016/07/25 20:16:30.162 DBG 0x7f99a6999700 FeedMatcher. http://dbotnet.com/get.php?id=2&p=4' is not detected for RE_URL 'Botnet_CnC_URL_Data_Feed.json' 2016/07/25 20:16:30.164 DBG 0x7f99a799b700 UrlMatchingEngine.Normalized url: http://botnet_domain_19.botnet_domain.com 2016/07/25 20:16:30.164 INF 0x7f99a799b700 FeedMatcher.Detect http://botnet_domain_19.botnet_domain.com' for RE_URL 'Botnet_CnC_URL_Data_Feed.json' 2016/07/25 20:16:30.164 INF 0x7f99a799b700 Category: KL_BotnetCnC_URL

ログファイルにこのようなメッセージがない場合は、Kaspersky CyberTrace サービス設定情報ファイルに正しい正規表現があるかチェックします。Kaspersky CyberTrace Web で、使用された正規表現をチェックすることもできます。

Kaspersky CyberTrace サービスが RSA NetWitness にイベントを送信しているかチェックする

Kaspersky CyberTrace サービスが RSA NetWitness にイベントを送信しているか次の方法でチェックできます：

• Kaspersky CyberTrace サービスログファイルを確認する。

  以下は、イベントが RSA NetWitness に適切に送信された時にログに書き込まれるメッセージの例です。

2020/05/20 17:09:12.987 INF 26341 siem New notification: KL_ALERT_UpdatedFeed --- parameters: [ 'feed': 'Blocklist.de_BlockIP.json', 'records': '35187' ] 2020/05/20 17:09:12.987 INF 26341 siem New notification: KL_ALERT_UpdatedFeed --- parameters: [ 'feed': 'Blocklist.de_BlockIP.json', 'records': '35187' ] 2020/05/20 17:09:12.987 DBG 26341 siem Connecting to '127.0.0.1:9998' 2020/05/20 17:09:12.987 DBG 26341 siem Sending notification KL_ALERT_UpdatedFeed 2020/05/20 17:09:12.987 DBG 26341 siem Notification KL_ALERT_UpdatedFeed has been sent successfully

以下は、イベントが RSA NetWitness に送信できなかった時にログに書き込まれるメッセージの例です。

2020/05/20 17:09:12.987 DBG 26341 siem Failed to send notification KL_ALERT_FailedToUpdateFeed (error: 0x80000072 (Unknown exception))

• Kaspersky CyberTrace サービスからイベントを受信するコンピューターで tcpdump ユーティリティを使用する。

  次のコマンドを使用して tcpdump ユーティリティを実行すると、ユーティリティは IP アドレス [IP] とポート 514 をリッスンします：

  tcpdump -neX src [IP] and port 514

  このコマンドで、Kaspersky CyberTrace サービスがイベントを送信する IP アドレスを指定します。

  tcpdump ユーティリティは実行されているオペレーティングシステムに応じて、別のフラグ（-neX ではない）を使用する可能性があります。

Kaspersky CyberTrace サービスがイベントを送信しない場合は、次のことをチェックしてください：

• URL、ハッシュ、または IP アドレスの検知に関するメッセージが Kaspersky CyberTrace サービスログファイルに含まれていることをチェックします。

  そのようなメッセージがない場合は、「Kaspersky CyberTrace サービスが Kaspersky Threat Data Feeds に対してイベントを照合しているかチェックする」サブセクションの説明を参照してください。フィードにチェック済みの URL、ハッシュ、IP アドレスが含まれていない可能性もあります。

• Kaspersky CyberTrace サービス設定情報ファイルに正しい宛先 IP アドレスとポートが含まれていることをチェックしてください。

ケース：RSA NetWitness が Kaspersky CyberTrace サービスからのイベントを表示しない

RSA NetWitness が Kaspersky CyberTrace サービスからのイベントを表示しない場合は、「ステップ 2：Kaspersky CyberTrace サービスから RSA NetWitness へのイベントの送信」セクションの手順が正しく実行されていることをチェックします。

RSA NetWitness は 10 分遅れてデバイスからのイベントを表示することがあります。

ケース：Log Decoder の IP アドレスとポートを［OutputSettings］→［ConnectionString setting］で指定すると、コンフィギュレーターがエラーメッセージを表示する

次のようなエラーメッセージが表示されることがあります：

Can't connect using the specified string.Press [Enter] to specify another string, or type "ok" to continue with 10.10.0.127:514

Kaspersky CyberTrace サービスがインストールされたコンピューターから RSA NetWitness がインストールされたコンピューターにアクセスできることをチェックします（例：ping ユーティリティを使用）。

ケース：Kaspersky CyberTrace サービスから送信されるイベントの一部のフィールドが RSA NetWitness のメタフィールドに表示されない

Kaspersky CyberTrace サービスから送信されるイベントの一部のフィールドが RSA NetWitness のメタフィールドに表示されない場合は、次の操作を実行します：

• 構成ファイル v20_cybertracemsg.xml で言及されているメタフィールドの［flags］パラメータが構成ファイル /etc/netwitness/ng/envision/etc/table-map-custom.xml で［None］に設定されているかチェックします。

  これらのフィールドが table-map-custom.xml にない場合は、次のように追加します：

  <mapping envisionName="url" nwName="url" flags="None" format="Text" envisionDisplayName="URL"/>

• 「RSA NetWitness からのイベントの転送」セクションで説明されているすべてのフィールドが次の設定情報ファイルに含まれているかチェックします：
  • index-logdecoder-custom.xml （Concentrator を使用しない場合）
  • index-concentrator-custom.xml

  これらのファイルの内容は、［Administration］→［Services］を選択して閲覧できます。次に Concentrator （または Log Decoder）を選択して、［Settings］スプリットボタン（）をクリックし、［View］→［Config］→［Files］の順に選択します。これらすべてのファイルが含まれるドロップダウンリストが表示されます。

  ファイルの編集後、新しい設定が適用されるように Log Decoder または Concentrator を再起動します。

  Log Decoder と Concentrator の両方が使用されていて、Concentrator が Log Decoder からデータを受信し、Log Decoder が Kaspersky CyberTrace サービスからイベントを受信する場合は、Concentrator の設定情報ファイル（index-concentrator-custom.xml）のみを更新します。また、イベントの検索対象のデータのソースとして Log Decoder を使用しない場合、またはレポートやダッシュボードの作成に Log Decoder を使用しない場合は、Log Decoder の設定情報ファイル（index-logdecoder-custom.xml）を変更せずそのままにしておくことができます。

  設定情報ファイルに必要なフィールドがない場合は、https://community.rsa.com/docs/DOC-41760 で説明されているようにこれらのフィールドを追加します。たとえば、ファイル index-concentrator-custom.xml には次の行が含まれている必要があります：

  <key description="virusName" format="Text" level="IndexValues" name="virusname" defaultAction="Open" />

  <key description="user.src" format="Text" level="IndexValues" name="user.src" defaultAction="Open" />

  <key description="ip.src" format="IPv4" level="IndexValues" name="ip.src" defaultAction="Open"/>

  <key description="action" format="Text" level="IndexValues" name="action" defaultAction="Open" />

  <key description="msg" format="Text" level="IndexKeys" name="msg" defaultAction="Open" />

  <key description="event.source" format="Text" level="IndexValues" name="event.source" defaultAction="Open" />

  <key description="device.ip" format="IPv4" level="IndexValues" name="ip.dst" defaultAction="Open"/>

  <key description="ip.dst" format="IPv4" level="IndexValues" name="ip.dst" defaultAction="Open"/>

  <key description="url" format="Text" level="IndexValues" name="url" defaultAction="Open"/>

  <key description="checksum" format="Text" level="IndexValues" name="checksum" defaultAction="Open"/>

設定情報ファイルの［name］フィールドと［format］フィールドの値が、ファイル table-map-custom.xml の［nwName］フィールドと［format］フィールドの値にそれぞれ等しいことを確認します。

ケース：Kaspersky CyberTrace ダッシュボードのインポート後、データが表示されない

代わりにダッシュレットにエラーメッセージが表示されます。

ダッシュレットにデータが表示されない

このエラーを修正するには、ダッシュレットを次のように再構成します：

1. ダッシュレットの右上の［Settings］をクリックします。

   

   ［Settings］ボタン

   ［Options］ウィンドウが表示されます。

2. ［Browse］をクリックします。

   

   ダッシュレットのパラメータ

   ［Select Chart］ウィンドウが表示されます。

3. ダッシュレットで使用するグラフを選択します。

   

   グラフの選択

4. ［Apply］をクリックします。

   

   ［Apply］ボタン

ケース：フィードユーティリティが「peer certificate cannot be authenticated with given CA certificates」というエラーメッセージを表示する

証明書を認証できません。ルート証明書がシステムにインストールされていることを確認します。ルート証明書がインストールされていない場合は、ルート証明書をオペレーティングシステムにインストールするための標準手順を使用してインストールしてください。

ページのトップに戻る