このセクションでは、Kaspersky CyberTrace をイベントソースとして扱うように AlienVault USM / OSSIM を設定する方法について説明します。この目的で AlienVault USM / OSSIM を設定するには、AlienVault USM / OSSIM が実行されているコンピューター上で必ず次の手順を実行してください。
Kaspersky CyberTrace からイベントを受信するように AlienVault USM / OSSIM を設定するには:
/etc/ossim/agent/plugins/ ディレクトリにコピーします。/usr/share/doc/ossim-mysql/contrib/plugins/ ディレクトリにコピーします。kaspersky_cyberTrace.cfg ファイルと kaspersky_cyberTrace.sql ファイルは、このヘルプドキュメントと一緒に配布されるか、テクニカルアカウントマネージャー(TAM)から提供されます。
/etc/ossim/agent/config.cfg ファイルの plugins セクションに次の行を追加します:kaspersky_cyberTrace =/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg
/etc/rsyslog.conf ファイルに追加します:if ($fromhost-ip == '%CyberTrace_IP_OUT%') then -/var/log/kaspersky_cyberTrace.log
ここで、%CyberTrace_IP_OUT% は、Kaspersky CyberTrace がイベントを送信するコンピューターの IP アドレスです。
この行は、Kaspersky CyberTrace にイベントを転送するように AlienVault USM / OSSIM を設定する時に追加されるルールの前に追加することを推奨します。
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
このコマンドにより、Kaspersky CyberTrace に関する情報が AlienVault データベースに追加されます。
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart
このコマンドを使用すると、AlienVault USM / OSSIM に、kaspersky_cyberTrace.cfg 設定情報ファイルで指定された設定が適用されます。このファイルには、AlienVault USM / OSSIM が Kaspersky CyberTrace からのイベントを解析するために使用するルールが含まれています。
/etc/init.d/rsyslog restart
logrotate ユーティリティを設定します:/etc/logrotate.d ディレクトリに kaspersky_cybertrace ファイルを作成します。kaspersky_cybertrace ファイルで、次の行を指定します:/var/log/kaspersky_cyberTrace.log
{
# save 3 months of logs
rotate 3
monthly
missingok
notifempty
compress
delaycompress
sharedscripts
# run a script after log rotation
postrotate
invoke-rc.d rsyslog rotate > /dev/null
endscript
}
kaspersky_cybertrace ファイルを保存して閉じます。別の期間のログを保存する場合は、logrotate のドキュメントを参照して、ファイル kaspersky_cybertrace を設定してください。
この手順を実行すると、Kaspersky CyberTrace デバイスが AlienVault USM / OSSIM に追加されます。
rsyslog サービスにより、Kaspersky CyberTrace からのイベントが /var/log/kaspersky_cyberTrace.log ファイルに保存されます。
Kaspersky CyberTrace と AlienVault USM / OSSIM を設定したら、検証テストを実行します。このために、ログスキャナーユーティリティ(Kaspersky CyberTrace の一部)を使用して、検証テストイベントを Kaspersky CyberTrace に送信します。検証テストイベントは、verification/kl_verification_test.txt ファイルに含まれています。AlienVault USM / OSSIM Web インターフェイスで検証テストの結果を確認します。
既定では、各 Kaspersky Threat Data Feed のそれぞれの検知イベントは、AlienVault で独自のタイプを持ちます。他の検知イベントは、event name フィールドに Kaspersky CyberTrace - Detection event の値を持ちます。
カテゴリに従って検知イベントを分類するために、インポートされたフィードの検知イベントの名前を変更できます。
インポートされたフィードの検知イベントの名前を変更するには:
/etc/ossim/agent/plugins/kaspersky_cyberTrace.cfg 設定情報ファイルの translation セクションに次の行を追加します:%CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED%=%ANY_FREE_NUMERIC_VALUE%
ここで、%CATEGORY_ATTRIBUTE_VALUE_OF_THE_IMPORTED_FEED% は、kl_feed_service.conf からインポートされたフィードのカテゴリ属性の値です。例:Custom_Feed=50。
/usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql ファイルの最後の行の前に次の行を追加します:(23021992, %NUMERIC_VALUE_SPECIFIED_AT_THE_kaspersky_cyberTrace.cfg%, 15, 71, NULL, 'Kaspersky CyberTrace - %NAME_TO_REPLACE%', 5, 8),
cat /usr/share/doc/ossim-mysql/contrib/plugins/kaspersky_cyberTrace.sql | ossim-db
/etc/init.d/ossim-agent restart
/etc/init.d/ossim-server restart