このセクションでは、通常の稼働中に ArcSight と対話するように CyberTrace を構成する方法について説明します。
ArcSight と対話するように CyberTrace を構成するには:
127.0.0.1:9999
)。[Default properties]フォームが開きます。
\=
」を入力する=
」を入力する変更を行った後、[Normalization rules]タブは次のようになります:
[Normalization rules]タブ
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext%
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cn3Label=Confidence cn3=%Confidence% cs6Label=Context cs6=%RecordContext%
ArcSight および入力可能フィールド
Kaspersky Data Feeds では、入力可能フィールドが使用されます。入力可能フィールドを[Settings]→[Feeds]タブで確認できます。
フィールド名 |
出力 |
CEF フィールド |
mask |
cs1 |
deviceCustomString1 |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
threat |
cs3 |
deviceCustomString3 |
urls/url |
cs4 |
deviceCustomString4 |
whois/domain |
cs2 |
deviceCustomString2 |
フィールド名 |
出力 |
CEF フィールド |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
threat |
cs3 |
deviceCustomString3 |
urls/url |
cs4 |
deviceCustomString4 |
file_size |
fsize |
file_size |
フィールド名 |
出力 |
CEF フィールド |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
threat_score |
cn1 |
deviceCustomNumber1 |
domains |
cs2 |
deviceCustomString2 |
urls/url |
cs4 |
deviceCustomString4 |
files/threat |
cs3 |
deviceCustomString3 |
フィールド名 |
出力 |
CEF フィールド |
mask |
cs1 |
deviceCustomString1 |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
files/threat |
cs3 |
deviceCustomString3 |
category |
cs4 |
deviceCustomString4 |
whois/domain |
cs2 |
deviceCustomString2 |
フィールド名 |
出力 |
CEF フィールド |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
threat |
cs3 |
deviceCustomString3 |
file_size |
fsize |
file_size |
フィールド名 |
出力 |
CEF フィールド |
mask |
cs1 |
deviceCustomString1 |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
industry |
deviceFacility |
deviceFacility |
whois/domain |
cs2 |
deviceCustomString2 |
フィールド名 |
出力 |
CEF フィールド |
threat |
cs3 |
deviceCustomString3 |
フィールド名 |
出力 |
CEF フィールド |
detection_date |
flexString1 |
flexString1 |
publication_name |
cs3 |
deviceCustomString3 |
フィールド名 |
出力 |
CEF フィールド |
detection_date |
flexString1 |
flexString1 |
publication_name |
cs3 |
deviceCustomString3 |
フィールド名 |
出力 |
CEF フィールド |
detection_date |
flexString1 |
flexString1 |
publication_name |
cs3 |
deviceCustomString3 |
フィールド名 |
出力 |
CEF フィールド |
mask |
cs1 |
deviceCustomString1 |
first_seen |
flexString1 |
flexString1 |
last_seen |
flexString2 |
flexString2 |
popularity |
cn2 |
deviceCustomNumber2 |
files/threat |
cs3 |
deviceCustomString3 |
Kaspersky Data Feeds からの情報が入力された ArcSight フィールドの消去
Kaspersky Data Feeds 以外からの情報のデータに CEF フィールドを使用する場合は、このフィールドを消去する必要があります。
CEF フィールドを消去するには: