ステップ 6:Kaspersky CyberTrace イベントの検索フィルターの作成
このセクションでは、イベント検索を作成する方法について説明します。
イベント検索を作成するには:
- ウィンドウの右上領域の[Pause](
![QRadar の[Pause]アイコン。](qradar_pause.png)
)をクリックして、イベントフローを停止します。 - QRadar Console で[Log Activity]タブを選択します。
- [Search]→[New Search]の順に選択します。
![QRadar の[New search]メニュー項目。](new_search.png)
New Search
- [Column Definition]フォームで、[
MD5 (custom)]、[SHA1 (custom)]、[SHA256 (custom)]、[URL (custom)]、[IP (custom)]を[Available Columns]から[Columns]リストに追加します。![QRadar の[Column Definition]ウィンドウ。](column_definition.png)
列の定義
- ページをスクロールダウンして、[Search Parameters]フォームで[
KL_Threat_Feed_Service_v2]をログソースとして次のように設定します:- [Parameter]ドロップダウンリストで、[
Log Source [Indexed]]を選択します。 - [Operator]ドロップダウンリストで、[
Equals]を選択します。 - [Log Source]リストで、[
KL_Threat_Feed_Service_v2]を選択します。選択した[
KL_Threat_Feed_Service_v2]はログソース名であり、Kaspersky CyberTrace サービス設定情報ファイルの[OutputSettings]→[EventFormat]要素および[OutputSettings]→[AlertFormat]要素で設定されています(Kaspersky CyberTrace Web を使用して設定することもできます)。 - [Add Filter]をクリックします。
「
Log Source is KL_Threat_Feed_Service_v2」文字列が[Current Filters]リストに追加されます。
![QRadar の[Search Parameters]ウィンドウ。](qradar_setting_log_source.png)
ログソースの設定
- [Parameter]ドロップダウンリストで、[
- [Search]をクリックして、検索結果を表示します。
- [Save Criteria]をクリックします。
![QRadar のボタン。[Save Criteria]。](qradar_save_criteria_button.png)
[Save Criteria]ボタン
- [Save Criteria]フォームで、検索の名前を[Search Name]テキストボックスに入力し、[Include in my Quick Searches]をオンにして、作成した検索の分析間隔を指定します(たとえば、[Real Time])。
- [OK]をクリックします。
![QRadar の[Save Criteria]ウィンドウ。](save_criteria.png)
基準の保存