McAfee Enterprise Security Manager と連携するための Kaspersky CyberTrace の設定
このセクションでは、McAfee ESM と連携するように Kaspersky CyberTrace を設定する方法について説明します。
Kaspersky CyberTrace を McAfee ESM と連携するように設定するには:
- https://support.kaspersky.co.jp/datafeeds/download/15920 から Kaspersky CyberTrace をダウンロードします。
- Kaspersky CyberTrace をインストールします。
- Linux では、Kaspersky CyberTrace は
/opt/kaspersky/ktfsディレクトリにインストールされます。 - Windows インストールについては、これ以降、インストールディレクトリを
%CyberTrace_installDir_installDir%と表記します。
- Linux では、Kaspersky CyberTrace は
- Kaspersky CyberTrace Web UI に初めてログインすると、初期セットアップウィザードウィンドウが開きます。次の設定を行います:
- [SIEM]フィールドで[Other]を選択し、[Next]をクリックします。
- 表示される[Connection Settings]ウィンドウで、次のように指定します:
- Kaspersky CyberTrace が受信イベントをリッスンする IP アドレスとポート
- Kaspersky CyberTrace が検知イベントとアラートイベントを送信する McAfee ESM の IP アドレスとポート
McAfee ESM の場合、ポートは 514 です。
[Next]をクリックします。
- 必要に応じて、[Proxy Settings]ウィンドウでプロキシサーバーの接続パラメータを指定します。
- 必要に応じて、初期セットアップの残りのステップを実行します。
- [Settings]→[Matching]タブで、[Edit default rules]をクリックし、[Regular expressions]タブを選択して、次の正規表現を指定します:
McAfee ESM と連携するための正規表現
インジケータータイプ
ルール名
正規表現
追加オプション
CONTEXT
Device
deviceExternalId\=(.*?)\s
CONTEXT
DeviceAction
act\=(.*?)\s
CONTEXT
DeviceIp
deviceTranslatedAddress\=(.*?)\s
HASH
RE_HASH
([\da-fA-F]{32,64})
Extract all:オン
IP
RE_IP
dst\=(.*?)\s
URL
RE_URL
(?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]{2,}+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)
Extract all:オン
IP
SRC_IP
src\=(.*?)\s
CONTEXT
UserName
duser\=(.*?)\s
- [Normalization rules]タブで、次の置換ルールを指定します:
McAfee ESM と連携するための置換ルール
- 変更を保存します。
- [Settings]→[Events format]の順に選択し、次の形式を指定します:
McAfee ESM と連携するためのイベント形式
フィールド
値
アラートイベント形式
Kaspersky CyberTrace Service Event| date=%Date% alert=%Alert% msg:%RecordContext%検知イベント形式
Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%Records context format
%ParamName%=%ParamValue%%ParamName%の前のスペースに注意してください。Actionable fields context format
%ParamName%:%ParamValue%%ParamName%の前のスペースに注意してください。変更を保存します。