このセクションでは、検証テストの実行により、Kaspersky CyberTrace と LogRhythm との正しい連携を検証する方法について説明します。
検証テストを実行するための条件を作成するには:
Field |
データ |
Name |
Kaspersky LogScanner |
Full Name |
Kaspersky LogScanner |
Abbreviation |
LogScanner |
Log Format |
Syslog |
Brief Description |
Kaspersky LogScanner はコマンドラインアプリケーションの一種です。これを使用してデータを Kaspersky CyberTrace サービスに送信し、データをフィードに対してチェックします。 |
Field |
データ |
Name |
LogScanner_event |
Classification |
Audit : Other Audit |
Brief Description |
検証の目的のための LogScanner イベント |
Risk Rating |
Low-Low |
[Common Event Properties]ウィンドウ
LogScanner_event
を指定します。.*
」を入力します。[rule builder]フォーム
[Log Source Type]リストで、[Kaspersky LogScanner]を選択します。「ステップ 5:Adding Kaspersky CyberTrace ポリシー」の説明に従って、その他すべてのパラメータを指定します。
514
を指定します。%service_dir%/verification/kl_verification_test_cef.txt
を LogRhythm に送信します。./log_scanner -p ../verification/kl_verification_test_cef.txt
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
Kaspersky ログスキャナーがイベントを送信した後、[Log Sources]タブに新しい項目が表示されます。
新しいログソースを受け入れるには:
[Log Source Acceptance Properties]ウィンドウが表示されます。
[Log Source Acceptance Properties]ウィンドウ
Kaspersky LogScanner
]を指定します。エンティティ名は一意かつ空でないようにする必要があります。その他のエンティティのプロパティは任意にできます。
ログソースのコンテキストメニュー
LogRhythm Console の下の表に、新しいログソースが表示されます。
新しいログソース
セクション「ステップ 7:Kaspersky CyberTrace へのログ転送の構成」の説明に従ってログ転送を以前に構成した場合、[Log source]として[Kaspersky LogScanner]が選択されていることを確認します(「ログ配布ポリシーの追加」サブセクションを参照)。
検証テストを実行するには:
ファイル %service_dir%/verification/kl_verification_test_cef.txt
を LogRhythm に再送します。
./log_scanner -p ../verification/kl_verification_test_cef.txt
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
Kaspersky CyberTrace と LogRhythm との連携が正しく構成されている場合、ログスキャナーからのテストイベントが Kaspersky CyberTrace に自動的に転送されます。次に、Kaspersky CyberTrace からのアラートイベントが LogRhythm に送信されます。検知の件数は、有効な Kaspersky Threat Data Feeds に応じて異なる場合があります。セクション「ステップ 10(オプション):LogRhythm でのアラートイベントの表示」に説明されているように、LogRhythm Web コンソールに表示されます。また、LogRhythm Console の[Tail]タブで、ソースイベントをリアルタイムに表示するためのテールを作成することで、LogRhythm との連携を検証できます。
ページのトップに戻る