このセクションでは、Kaspersky CyberTrace ルールおよびイベントが含まれるファイルを LogRhythm にインポートする方法について説明します。
何らかの理由でインポートに失敗した場合、Kaspersky CyberTrace イベントと Kaspersky CyberTrace ルールを手動で追加するよう構成できます。
Kaspersky CyberTrace ルールとともにファイルを LogRhythm にインポートするには:
integration/logrhythm/events/
内の mperule_%event_name%.xml
形式のファイルごとに、次の操作を実行します:[MPERuleToMST]→[MsgSourceTypeID]
および[MsgSourceType]→[MsgSourceTypeID]
の両方の要素の値を、前のステップでメモしたログのソースタイプ ID に置き換えます。たとえば、<MsgSourceTypeID>1000000001</MsgSourceTypeID>
を <MsgSourceTypeID>%CYBERTRACE_ID%</MsgSourceTypeID>
に変更する必要があります。この場合、%CYBERTRACE_ID%
は、Kaspersky CyberTrace のログのソースタイプ ID を表します。
[Rule Builder]フォームが表示されます。
インポートに成功すると、[Rule Import Status]ウィンドウが開きます。
[Rule Browser]ウィンドウが開きます。
ルール設定が表示されたウィンドウが開きます。
インポートしたルールは[Development
]ステータスで LogRhythm に到達し、全てのルールのリストには表示されない可能性があります。[View]→[Show Development rules]の順に選択することで開く[Rule Browser]ウィンドウで表示を構成できます。
対応する共通のイベントと MPE ルールが全てのイベントに関して LogRhythm に追加されます。イベントの完全なリストは、Kaspersky CyberTrace イベントの追加に関するセクションに記載されています。MPE ルールとその設定の完全なリストは、Kaspersky CyberTrace ルールの追加に関するセクションに記載されています。
インポートした Kaspersky CyberTrace イベントの一部は、LogRhythm 分類に応じてリスクレートが低い可能性があります。フィルター設定によっては、LogRhythm によってこのようなイベントが無視される可能性があります。分類を確認し、インポートしたイベントのリスクレートで LogRhythm がこれらを適切に受け入れて処理できることを確認してください。
ページのトップに戻る