受信サービスイベントに関する通知の作成
受信 Kaspersky CyberTrace サービスイベントに関する通知を作成するには、アラートルールを構成します。
ArcSight ESM で、Kaspersky CyberTrace からのサービスイベントに関する通知を作成するには:
- ArcSight Console を実行します。
- [Navigator]ペインのドロップダウンリストで、[Rules]を選択します。
- ツリービューで、[Rules]→[Shared]→[All Rules]→[Public directory]の順に選択します。
![ArcSight の[Rules]ツリービュー。](rules_tree_view.png)
[Rules]ツリービュー
- [Kaspersky CyberTrace Connector]ツリーでフィルターノードを右クリックして、[New Rule]→[Standard Rule]の順に選択します。
- [Inspect]→[Edit]ペインで、次の設定を指定します:
- [Attributes]タブの[Name]フィールドで、ルールの名前を指定します。
任意の名前を指定できます。
- [Conditions]タブで、次の条件を指定します:
Device Product = Kaspersky CyberTrace for ArcSightReason = %ServiceEventCode%ここで、
%ServiceEventCode%は、通知の生成に使用されるサービスイベントのコードです。
![ArcSight の[Event conditions]。](event_conditions_arcsight.png)
Event conditions
- [Actions]タブを右クリックして[On Every Event]を選択してから、次を選択します:
- Activate Trigger
- Add
この設定には、[Conditions]タブで指定したサービスイベントを受信した時に実行される操作が含まれている必要があります。たとえば、[Send Notification]。
![ArcSight の[Add "Send Notification" Action]ウィンドウ。](adding_actions.png)
操作の追加
- [Attributes]タブの[Name]フィールドで、ルールの名前を指定します。
- [Apply]をクリックします。