ステップ 8(オプション):受信サービスイベントに関する通知の作成

Kaspersky CyberTrace で問題に関する通知を作成するには、アラートルールを設定します。

QRadar で Kaspersky CyberTrace からのサービスイベントに関する通知を作成するには:

  1. QRadar Console を実行します。
  2. Offenses]、[Log Activity]または[Network Activity]タブのいずれかを選択して、[Rules]を選択します。
  3. Actions]ドロップダウンリストで、[New Event Rule]を選択します。

    QRadar の[Rules]ページ。[New Event Rule]メニュー項目。

    Rules]ページ

    Rule Wizard]ページが表示されます。

  4. Rule Wizard]ページで、[Next]をクリックして生成するルールのソースを選択します。

    QRadar の[Rule Wizard]。ソースを選択します。

    Rules Wizard]ウィンドウ

  5. Events]を選択して、[Next]をクリックします。
  6. Rule Test Stack Editor]ページで、次の操作を実行します:
    • 新しいルールで次のテスト条件を追加します。
      • when the event(s) were detected by one or more of these log sources(イベントがこれらのログソースの 1 つ以上で検知された時)
      • when the event matches this search filter(イベントがこの検索フィルターに一致している時)
    • 指定した条件ごとに、論理 and 演算子を設定します。
    • when the event(s) were detected by one or more of these log sources]条件では、KL_Threat_Feed_Service_v2 に等しい[Log Source]を指定します。このイベントソースが存在しない場合、ログソースとして Kaspersky CyberTrace サービスを追加します
    • when the event matches this search filter]条件では、次の操作を実行することにより、[Event Name]とイベントソース名の値を比較するためのフィルターを指定します。
      1. イベントフィールドのリストで、[Event Name]を選択します。
      2. 条件のリストで、[Equals]を選択します。
      3. Browse]をクリックして、ルールを作成するサービスイベントの名前を選択します。

    QRadar の[Rule Wizard]。フィルターを追加します。

    フィルターの追加

    1. Add+]→[Submit]の順にクリックします。

      必要なイベントが存在しない場合、QRadar 識別子(QID)リストに追加します

    • ルールの名前を入力して、このルールを受信イベントに適用する方法を選択します([Local]または[Global])。[Local]および[Global]ルールの詳細は、IBM ドキュメントを参照してください。
    • ルールに必要なグループを選択します。
    • ルールの説明を追加します。

    QRadar の[Rule Wizard]。[Rule Editor]。

    Rule Editor]ウィンドウ

    • Next]をクリックします。
  7. Rule Response]ページで、次の操作を実行します:
    • Notify]を選択します。
    • 必要に応じて、[Response Limiter]セクションでルールトリガーの制限を指定します。
    • Enable Rule]セクションをオンにします。

    QRadar の[Rule Wizard]。[Rule Response]。

    Rule Editor]ページ

    • Next]をクリックします
  8. Rule Summary]ページで、すべての設定が正しく指定されていることを確認して、[Finish]をクリックします。

    QRadar の[Rule Wizard]。[Rule Summary]。

    Rule Summary]ページ

    ルールが[Rules]リストに追加されます。

    QRadar の[Rules]リスト。

    Rules]リスト

追加されたルールにより、受信サービスイベントに関する通知が生成されます。これらの通知を閲覧するには、[Messages]ドロップダウンリストをクリックします。また通知は、QRadar Console にポップアップ通知として表示されます。

QRadar の[Messages]リスト。

Messages]ドロップダウンリスト

Dashboard]タブで、通知の表示を設定できます。

QRadar の[System Notifications]ウィンドウ。

Dashboard]タブのシステム通知

Dashboard]タブで、通知の表示を設定するには:

  1. Dashboard]タブを選択します。
  2. Add Item]ドロップダウンリストで、[System Notifications]を選択します。

    QRadar のシステム通知の設定。

    Dashboard]タブでのシステム通知の追加

ページのトップに戻る