QRadar は Kaspersky CyberTrace サービスからの受信イベントを正しく処理する必要があります。それには、許容されるイベントのリスト(QRadar 識別子(QID)のリスト)を QRadar に追加する必要があります。Kaspersky CyberTrace サービスでは、イベントカテゴリは設定情報ファイルの[Feeds]→[Feed]→[Field]要素の category 属性で定義されます。
Kaspersky CyberTrace の配布キットには sample_qid.txt というファイルがあり、このファイルには Kaspersky CyberTrace サービスからの必要なイベントが含まれています。これらのイベントの記述を変更せずに、ユーザー独自のイベントをこのファイルに追加してください。
「KL_<feed>_<object_type>」の形式に従ってイベントカテゴリの名前を付けることを推奨します。意味は次の通りです:
<feed>—イベントを検知するフィードの名前(例:PhishingUrl)<object_type>—イベントが検知されるフィールド(例:URL、Hash_MD5、Hash_SHA1、Hash_SHA256)QID のリストを QRadar にインポートするには:
%service_dir%/integration/qradar/sample_qid.txt に追加して編集します。イベントカテゴリはいずれも、次の形式に従って 1 行で記述する必要があります:
,<event>,<descr>,<sev>,<cat_id>
意味は次の通りです:
<event>—受信イベントの名前<descr>—イベントの説明<sev>—イベントの重大度<cat_id>—下位の QRadar イベント識別子QRadar イベント識別子の全リストは、次のコマンドで出力できます:
/opt/qradar/bin/qidmap_cli.sh -l
<sev> と <cat_id> の値は QRadar のドキュメントに従って使用することを推奨します。
例:
,KL_Malicious_URL,Malicious URL is detected by Kaspersky Threat Feed Service,8,7058
%service_dir%/integration/qradar/sample_qid.txt を、QRadar がインストールされたサーバーにアップロードします。/opt/qradar/bin/qidmap_cli.sh -i -f <filename>
<filename> は、ステップ 2 でアップロードしたファイル sample_qid.txt の宛先パスです。
/opt/qradar/bin/qidmap_cli.sh –e
エラーが発生した場合に問題を解決するには、『IBM Security QRadar SIEM 管理ガイド』を参照してください。
ページのトップに戻る