Kaspersky CyberTrace で問題に関する通知を作成するには、アラートルールを構成します。
QRadar で Kaspersky CyberTrace からのサービスイベントに関する通知を作成するには:
[Rules]ページ
[Rule Wizard]ページが表示されます。
[Rules Wizard]ウィンドウ
when the event(s) were detected by one or more of these log sources(イベントがこれらのログソースの 1 つ以上で検知された時)
when the event matches this search filter(イベントがこの検索フィルターに一致している時)
and
演算子を設定します。when the event(s) were detected by one or more of these log sources
]条件では、KL_Threat_Feed_Service_v2 に等しい[Log Source
]を指定します。このイベントソースが存在しない場合、ログソースとして Kaspersky CyberTrace サービスを追加します。when the event matches this search filter
]条件では、次の操作を実行することにより、[Event Name]とイベントソース名の値を比較するためのフィルターを指定します。フィルターの追加
必要なイベントが存在しない場合、QRadar 識別子(QID)リストに追加します。
[Rule Editor]ウィンドウ
[Rule Editor]ページ
[Rule Summary]ページ
ルールが[Rules]リストに追加されます。
[Rules]リスト
追加されたルールにより、受信サービスイベントに関する通知が生成されます。これらの通知を閲覧するには、[Messages]ドロップダウンリストをクリックします。また通知は、QRadar Console にポップアップ通知として表示されます。
[Messages]ドロップダウンリスト
[Dashboard]タブで、通知の表示を構成できます。
[Dashboard]タブのシステム通知
[Dashboard]タブで、通知の表示を構成するには:
[Dashboard]タブでのシステム通知の追加