QRadar が、Kaspersky CyberTrace サービスから送信されたイベントを受信するには、Kaspersky CyberTrace サービスをログソースとして扱う必要があります。Kaspersky CyberTrace サービスから送信されたイベントは QRadar ログイベント拡張フォーマット(LEEF)形式で、QRadar の新しいログソースはユニバーサル LEEF ログソースになります。
Kaspersky CyberTrace サービスをログソースとして QRadar に追加するには:
このソースからのすべてのイベントがこの名前で GUI に表示されます。
Universal LEEF
]を選択します。Log Source Identifier
]テキストボックスに入力します。この識別子は[EventFormat]パラメータと[AlertFormat]パラメータで使用されます。[Coalescing Events]はオンにしないでください。オンにすると、Kaspersky CyberTrace サービスからのすべてのイベントが 1 つのイベントに結合されて、役立つ情報になりません。
QRadar へのログソースの追加
同じ操作を実行して、KL_Verification_Tool
識別子を持つ別のログソースを追加します。このログソースは、Kaspersky CyberTrace サービスと QRadar 間のやり取りのテストに使用されます。
2 つのログソースを追加したら、[Admin]→[Deploy Changes]の順にメニュー項目を選択します。
ページのトップに戻る