ステップ 3：ArcSight との対話のための CyberTrace の構成

このセクションでは、通常の稼働中に ArcSight と対話するように CyberTrace を構成する方法について説明します。

ArcSight と対話するように CyberTrace を構成するには：

1. Kaspersky CyberTrace Web を開きます。
2. ［Settings］→［Service］タブの順に選択します。
3. ［Connection settings］セクションの［Service listens on］で、Kaspersky CyberTrace サービスが受信イベントをリッスンする IP アドレスとポートを選択します。IP アドレスとポートは、ArcSight Forwarding Connector のインストール時に設定されます（既定値は 127.0.0.1:9999）。
4. ［Matching］タブ→［Edit default rules］の順に選択します。

   ［Default properties］フォームが開きます。

5. ［Normalization rules］タブで次の手順を実行します：
   • ［To replace］フィールドに記号シーケンス「\=」を入力する
   • ［Replace with］フィールドに記号「=」を入力する

   変更を行った後、［Normalization rules］タブは次のようになります：

   

   ［Normalization rules］タブ

6. ［Regular expressions］タブを選択します。このタブには、URL （プロトコル付き）、ハッシュ、IP アドレス（src と dst）、デバイス名、ベンダー名、デバイス IP アドレス、ユーザー名、イベント ID に一致する汎用の正規表現があります。イベントに一致するようにこれらの正規表現を変更します。
7. ［Default properties］フォームを閉じます。
8. ［Events format］タブの［Alert events format］フィールドに次の文字列を入力します：

   CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext%

9. ［Detection events format］フィールドで次の文字列を指定します：

   CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cn3Label=Confidence cn3=%Confidence% cs6Label=Context cs6=%RecordContext%

ArcSight および入力可能フィールド

Kaspersky Data Feeds では、入力可能フィールドが使用されます。入力可能フィールドを［Settings］→［Feeds］タブで確認できます。

• Demo Botnet C&C URL Data Feed と Botnet C&C URL Data Feed：

  フィールド名	出力	CEF フィールド
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat	cs3	deviceCustomString3
  urls/url	cs4	deviceCustomString4
  whois/domain	cs2	deviceCustomString2

• Demo Malicious Hash Data Feed と Malicious Hash Data Feed：

  フィールド名	出力	CEF フィールド
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat	cs3	deviceCustomString3
  urls/url	cs4	deviceCustomString4
  file_size	fsize	file_size

• Demo IP Reputation Feed と IP Reputation Data Feed：

  フィールド名	出力	CEF フィールド
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat_score	cn1	deviceCustomNumber1
  domains	cs2	deviceCustomString2
  urls/url	cs4	deviceCustomString4
  files/threat	cs3	deviceCustomString3

• Malicious URL Data Feed：

  フィールド名	出力	CEF フィールド
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  files/threat	cs3	deviceCustomString3
  category	cs4	deviceCustomString4
  whois/domain	cs2	deviceCustomString2

• Mobile Malicious Hash Data Feed：

  フィールド名	出力	CEF フィールド
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  threat	cs3	deviceCustomString3
  file_size	fsize	file_size

• Phishing URL Data Feed：

  フィールド名	出力	CEF フィールド
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  industry	deviceFacility	deviceFacility
  whois/domain	cs2	deviceCustomString2

• Mobile Botnet Data Feed：

  フィールド名	出力	CEF フィールド
  threat	cs3	deviceCustomString3

• APT URL Data Feed：

  フィールド名	出力	CEF フィールド
  detection_date	flexString1	flexString1
  publication_name	cs3	deviceCustomString3

• APT IP Data Feed：

  フィールド名	出力	CEF フィールド
  detection_date	flexString1	flexString1
  publication_name	cs3	deviceCustomString3

• APT Hash Data Feed：

  フィールド名	出力	CEF フィールド
  detection_date	flexString1	flexString1
  publication_name	cs3	deviceCustomString3

• IoT URL Data Feed：

  フィールド名	出力	CEF フィールド
  mask	cs1	deviceCustomString1
  first_seen	flexString1	flexString1
  last_seen	flexString2	flexString2
  popularity	cn2	deviceCustomNumber2
  files/threat	cs3	deviceCustomString3

Kaspersky Data Feeds からの情報が入力された ArcSight フィールドの消去

Kaspersky Data Feeds 以外からの情報のデータに CEF フィールドを使用する場合は、このフィールドを消去する必要があります。

CEF フィールドを消去するには：

1. Kaspersky CyberTrace Web の［Settings］タブを選択します。
2. ［Feeds］タブを選択します。
3. ［Filtering rules for feeds］セクションで［Kaspersky］タブが選択されていることを確認したら、消去するフィールドが含まれている Kaspersky Threat Data Feeds をクリックします。
4. ［Actionable fields］セクションで、消去する CEF フィールドの名前を含んだ［Output］フィールドを見つけます。
5. 前のステップで見つけた［Output］フィールドの横にある［Delete］アイコン（）をクリックします。

ページのトップに戻る