イベント形式パターンについて

形式とパターンを使用して、Kaspersky CyberTrace によって生成されるアラートに特定の情報を含めることができます。

形式は、アラートまたはパターンの形式を決定する文字列です。パターンは、形式の指定時に使用できる特別なワイルドカードです。パターンは、アラートの生成時に実際のデータによって置き換えられます。

アラートと検知について

Kaspersky CyberTrace によって生成されるアラートの 2 つのタイプに形式を指定できます：

• 検知アラート

  これらは、検知された一致対象に関する情報とともにインジケーターを保持する送信アラートです。

  検知アラートの形式の詳細は、次の「検知アラート形式」サブセクションを参照してください。

• サービスアラート

  これらは、Kaspersky CyberTrace サービスの状態についてイベントターゲットソフトウェア（SIEM など）に通知する送信アラートです。

  アラートの形式の詳細は、次の「サービスアラート形式」サブセクションを参照してください。

レコードコンテキスト形式

%RecordContext% 形式は、コンテキストフィールドをアラートに追加する必要がある方法を指定します。このパターンの形式は、［Records context format］フィールドで指定できます。

%RecordContext% 形式では、次のパターンを使用できます：

• %ParamName%

  フィード内のフィールドの名前。

• %ParamValue%

  フィールドの値。

%RecordContext% 形式は、検知イベントとアラートイベントの形式内で使用されます。

• 検知アラート

  %RecordContext% パターンは、検知アラートに渡されるコンテキストフィールドの形式を決定します。

  たとえば、%RecordContext% が %ParamName%=%ParamValue% である場合、「Ip」および「Geo」フィールドを持つフィードの場合、次の文字列を生成できます（2 つのフィールドのデータ間のスペース記号に注意してください）：「Ip=192.0.2.100 Geo=ru,br,ua,cz,us」

• サービスアラート

  %RecordContext% パターンは、アラートイベントに渡されるコンテキストフィールドの形式を決定します。

  これらのフィールドは、サービスアラートのタイプごとに固有のものです。たとえば、%RecordContext% が %ParamName%=%ParamValue% であり、フィードが更新されている場合、次の文字列を生成できます：「"feed=Phishing_URL_Data_Feed.json records=200473」

入力可能フィールドコンテキスト形式

%ActionableFields% 形式は、入力可能フィールドをアラートに追加する必要がある方法を指定します。このパターンには、［Actionable fields context format］フィールドで別の形式を指定できます。

%ActionableFields% 形式では、以下のパターンを使用できます：

• %ParamName%

  入力可能フィールドの名前。

• %ParamValue%

  入力可能フィールドの値。

%ActionableFields% 形式は、検知アラートの形式内で使用されます。

%ActionableFields% パターンは、検知アラートに渡される入力可能フィールドの形式を決定します。

たとえば、%ActionableFields% が %ParamName%:%ParamValue% であり、cn1 および cn2 フィールドがフィードに指定されている場合、次の文字列を生成できます：「cn1:Example Device cn2:Example Environment」

サービスアラート形式

この形式は、［Alert events format］フィールドで指定できます。

この形式では、次のパターンを使用できます：

• %Alert%

  イベントのタイプ。

• %Date%

  Mon DD HH:MM:SS 形式の現在の日時。

• %RecordContext%

  上記の「レコードコンテキスト形式」セクションで説明されているアラートのコンテキスト。

アラートイベント形式の例は、次の通りです：

%Date% alert=%Alert%%RecordContext%

フィード更新アラートが生成される場合、上記の例では、次のアラートが生成されます：

Apr 16 09:05:41 alert=KL_ALERT_UpdatedFeed feed=Phishing_URL_Data_Feed.json records=200473

検知アラート形式

この形式は、［Detection events format］フィールドで指定できます。

この形式では、次のパターンを使用できます：

• %Category%

  検知されたオブジェクトのカテゴリ。

• %Date%

  Mon DD HH:MM:SS 形式の現在の日時。

• 正規表現名

  このパターンは、正規表現の名前です。これは、正規表現と一致するイベントフィールドから抽出された値に置き換えられます。たとえば、正規表現の名前が RE_URL である場合、そのパターンは %RE_URL% であり、生成されるアラートには、この正規表現と一致した値が保持されます。

• %MatchedIndicator%

  イベントの原因となった検知されたインジケーター（URL、ハッシュ、または IP アドレス）。

• %SourceId%

  イベントソース識別子。これは、［Matching］タブでイベントソースに指定した名前です。

  事前設定されたイベントソースの識別子は、Default です。

• %Confidence%

  信頼性のレベル。この値は、検知アラートで一致したインジケーターが含まれるフィードのインジケーターの信頼性値から採用されます。

• %IndicatorInfo%

  検知したインジケーターに関する情報が含まれる Kaspersky CyberTrace Web ページへのリンク。

• %ActionableFields%

  上記の「入力可能フィールドコンテキスト形式」セクションで説明されている入力可能フィールド。

• %RecordContext%

  上記の「レコードコンテキスト形式」セクションで説明されているイベントのコンテキスト。

• %EventReceivedDate%

  Kaspersky CyberTrace が SIEM ソリューションから検知イベントを受信した日時。

• %Retroscan%

  レトロスキャンによって検知が行われたかどうかのサイン。

［OutputSettings］→［EventFormat］要素の例は、次の通りです：

%Date% event_name=%Category% source=%SourceId% matchedIndicator=%MatchedIndicator% url=%RE_URL% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME% indicatorInfo=%IndicatorInfo% confidence=%Confidence%%RecordContext%

上記の形式では、次のアラートが生成されます：

Apr 16 09:05:41 eventName=KL_Malicious_Hash_MD5 source=ExampleSource matchedIndicator=C912705B4BBB14EC7E78FA8B370532C9 url=- src=192.0.2.4 ip=192.0.2.23 md5=C912705B4BBB14EC7E78FA8B370532C9 sha1=- sha256=- usrName=ExampleUser indicatorInfo=https://127.0.0.1/indicators?value=C912705B4BBB14EC7E78FA8B370532C9 confidence=100 MD5=C912705B4BBB14EC7E78FA8B370532C9 SHA1=8CBB395D31A711D683B1E36842AE851D5D000BAD SHA256=F6E62E9B3AF38A6BF331922B624844AAEB2D3658C4F0A54FA4651EAA6441C933 file_size=2989 first_seen=10.07.2016 23:53 last_seen=13.04.2020 08:08 popularity=1 threat=HEUR:Trojan.Win32.Generic

ArcSight のパターン

Kaspersky CyberTrace サービスは、サービスアラートを CEF 形式で送信します。ArcSight のアラート形式は、CEF 形式の要件に適合する必要があります。

検知アラートの場合、次の形式を指定します：

CEF:0|Kaspersky Lab|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% dst=%DST_IP% src=%DeviceIp% fileHash=%RE_HASH% request=%RE_URL% sourceServiceName=%Device% sproc=%Product% suser=%UserName% msg=CyberTrace detected %Category% externalId=%Id% %ActionableFields% cs5Label=MatchedIndicator cs5=%MatchedIndicator% cs6Label=Context cs6=%RecordContext%

一般的なパターンに加えて、ArcSight の検知アラート形式は、正規表現名による次のパターンを使用します：

• %DST_IP%—宛先 IP アドレス。
• %DeviceIp%—イベントが発生したエンドポイントデバイスの IP アドレス。
• %RE_HASH%—イベントに含まれるハッシュ。
• %RE_URL%—イベントに含まれる URL。
• %Device%—デバイスのベンダー。
• %Product%—デバイス名。
• %UserName%—エンドポイントデバイスでアクティブであったユーザーの名前。
• %Id%—イベント識別子。

サービスアラートの場合、次の形式を指定します：

CEF:0|Kaspersky Lab|Kaspersky CyberTrace for ArcSight|2.0|1|CyberTrace Service Event|4| reason=%Alert% msg=%RecordContext%

上記の形式では、4（または 1 ～ 10 の別の値）が、Kaspersky CyberTrace のアラートイベントのレベル（重大度）です。

RSA NetWitness のパターン

検知アラートとサービスアラート形式の値は、v20_cybertracemsg.xml ファイルに設定されている形式に対応している必要があります。これらの形式を変更する場合、それに応じて v20_cybertracemsg.xml ファイルを編集してください。

検知アラート形式の例は、次の通りです：

<232>%CyberTrace:MATCH_EVENT category=%Category%,detected=%MatchedIndicator%,url=%RE_URL%,hash=%RE_HASH%,dst=%DST_IP%,src=%SRC_IP%,dvc=%DeviceIp%,dev_name=%Device%,dev_action=%DeviceAction%,user=%UserName%,actF:%ActionableFields%,context=%RecordContext%

一般的なパターンに加えて、RSA Net Witness の検知アラート形式は、正規表現名によって参照される次の正規表現パターンを使用します：

• %RE_URL%—イベントに含まれる URL。
• %RE_HASH%—イベントに含まれるハッシュ。
• %DST_IP%—宛先 IP アドレス。
• %SRC_IP%—ソース IP アドレス。
• %DeviceIp%—イベントが発生したエンドポイントデバイスの IP アドレス。
• %Device%—デバイスのベンダー。
• %DeviceAction%—デバイスが実行した動作。
• %UserName%—エンドポイントデバイスでアクティブであったユーザーの名前。

ページのトップに戻る