このセクションでは、メールタイプのカスタムまたはサードパーティのフィードの追加方法およびその設定の変更方法について説明します。
フィードを追加するには:
[Custom feed]ウィンドウが表示されます。
以下に関して[Custom feed]ウィンドウが変更されます:
電子メールタイプのフィードの追加
フィード名では、ラテン文字、数字、下線、およびハイフンが使用できます。名前は、既に使用している他のフィード名とは別のものにする必要があります。
フィード名として FalsePositive および InternalTI は使用しないでください。これらは、Kaspersky CyberTrace の組み込み脅威インジケーター名として予約されているためです。
基本認証を使用する場合は、フィード名に @ 文字を使用しないでください。ユーザー名またはパスワードには @ が含まれています。
電子メールタイプのフィードを指定します。
[Use TLS/SSL]をオンにし、TLS/SSL 証明書を使用したメールサーバーとの対話を有効にします。
[Use TLS/SSL]は既定ではオンです。メールサーバーが TLS/SSL を使用しない場合はオフにします。
接続先のメールサーバーのホスト名または IP アドレス。このフィールドは空にできません。
接続先の電子メールサーバーのポート。このフィールドは空にできません。
メールサーバーとの対話用のプロトコル。POP3 または IMAP を選択します。既定では、IMAP が選択されます。
ドロップダウンリストから、フィードベンダーの名前を選択するか、[Add new vendor]を選択して新しい名前を作成します。
フィードの信頼性のレベル。このフィールドは空にできません。使用可能な値の範囲は、1 ~ 100 です。
事前設定値は、カスペルスキーからのフィードでは「100
」、OSINT feeds では「50
」、およびサードパーティのフィードでは「50
」です。これらの値は変更できます。
電子メールサーバーからのメッセージを処理するために必要な日数。このフィールドは空にできません。
整数の正数を指定します。最大値は 365 です。7 が事前設定されています。
電子メールサーバーに接続するためのユーザーアカウント。このフィールドは空にできません。
電子メールサーバーに接続するためのアカウントのパスワード。このフィールドは空にできません。
[Check connection]をクリックし、メールサーバーに接続します。結果はポップアップウィンドウに表示されます。
上記のフィールドに入力した後、[Next]をクリックして別の設定ウィンドウに進み、メールメッセージのフィルタリングルール、およびメッセージボディとメッセージ添付ファイルの解析ルールを指定します。
メールフィードを追加した後に、[Retention period
]の値を更新します(事前設定値 365 日)。
電子メールタイプのフィードのフィルタリングルールおよび解析ルールの構成
以下のウィンドウには、フィルタリングルールおよび解析ルールを構成するためのフィールドが含まれます。
フィルタリングルールおよび解析ルール
メッセージフィルターの追加
メッセージフィルターは、解析対象のメールの選択ルールを設定します。件名および送信者別に電子メールを選択できます。すべてのルールに AND 条件が使用されます。
メッセージフィルターを追加するには:
1 つ以上の結果を追加できます。ルールを追加しない場合は、解析はサーバーからのすべてのメールに適用されます。
電子メールメッセージ内の以下のフィールドにフィルタリングルールを適用できます:
電子メールメッセージの送信者。
電子メールメッセージの件名。
次のいずれかの値を選択します:
電子メールメッセージの値には、このフィールドの値が含まれる必要があります。
これが既定値です。
電子メールメッセージの値には、このフィールドの値が含まれる必要があります。
電子メールメッセージの値は、このフィールドの値と等しい必要があります。
電子メールメッセージの値は、このフィールドの値と等しくない必要があります。
電子メールサーバーからの電子メールメッセージをフィルタリングするために使用される基準。
このフィールドは空にできません。
メールサーバーは、次の 2 つのバリアントで[From]フィールドを形成します: sender@mail.ru または sender<sender@mail.ru>。
[Field for filter]に[From]があり、[Filtration condition]に[Match]がある場合は、 [ Value]は sender@mail.ru 値([From]フィールド に sender@mail.ru がある場合)または括弧内の値([From]フィールドに sender<sender@mail.ru> がある場合)と比較されます。
メッセージ添付ファイルの解析ルールの構成
これらのルールには、添付ファイルタイプの設定だけでなく、インジケーターや添付ファイルのコンテキストを解析するための正規表現も含まれます。
メッセージ添付ファイルの解析ルールを指定するには:
メッセージ添付ファイルの解析は規定で有効です。添付ファイルの 1 つ以上のタイプを適用できます。1 つのタイプの添付ファイルを適用できるのは 1 回のみです。
ドロップダウンリストから、添付ファイルのタイプを選択します。添付ファイルのタイプとして以下の値の 1 つを使用できます:
CSV 添付ファイルの場合は、列を区切る区切り文字を指定します。事前設定の区切り文字には、セミコロン(;)が使用されます。
[Attachment]セクションで指定するフィールドは次の通りです:[Field type]、[Field name]、[Column number]。
[Attachment]セクションで指定するフィールドは次の通りです:[Field type]、[Field name]、[Root element]。
stix1 および xml の解析ルールがメールフィード設定で同時に指定されると、stix1 ファイルが先に解析されます。
stix1 ファイルがエラーなしで解析されると、通常の xml ファイルとして処理されなくなります。
stix2 および json の解析ルールがメールフィード設定で同時に指定されると、stix2 ファイルが先に解析されます。
stix2 ファイルがエラーなしで解析されると、通常の json ファイルとして処理されなくなります。
[Attachment]セクションで指定するフィールドは次の通りです:[Field type]、[Field name]、[Regular expression]。
必要に応じて、[Regular expression]フィールドで、事前設定の正規表現を選択したり、修正したりできます。
URL および IP インジケーターでは、事前設定の正規表現は、インジケーター受信するように設定されます。この値では、ドットは括弧で囲まれています。(例:badurl[.].com)。
CyberTrace バージョン 4.2 では、MD5、SHA1、SHA256 の正規表現で、より長い値のフラグメントをより長いインジケーターから抽出可能です(a-f
の文字と数字で構成されている、より長いハッシュや URL など)。MD5、SHA1、SHA256 の既定の正規表現を、より特定的なものに置換することを推奨します。たとえば、MD5 には [^\da-fA-F]([\da-fA-F]{32})[^\da-fA-F]
instead of ([\da-fA-F]{32})
が使用できます。
XML 添付ファイルでは、ルート要素を指定します。この場合、ルート要素に関連するフィード要素の名前を使用できます。ルートとして指定する要素は、指定したフィードのネストのレベルに応じて異なります。「カスタムまたはサードパーティのフィードの追加」セクションのステップ 4 の XML フィードのルート要素の例を参照してください。
[Attachment]セクションで指定するフィールドは次の通りです:[Field type]、[Field name]、[Element]。
インジケータータイプを選択します。
このフィールドは、stix1 および stix2 では使用できません。
この名前は、マッチングプロセスで参照されます。
フィールド名では、ラテン文字、数字、下線、およびハイフンを使用できます。名前には、少なくとも 1 つのラテン文字が含まれている必要があります。
このフィールドは、stix1 および stix2 では使用できません。
JSON 添付ファイルタイプのルート要素を指定します。任意のネストレベルのルート要素値を指定できます。ネストレベルの制限は、「/
」文字で定義します。
ルート要素パラメータを空にすることはできません。空でない場合は、ルート要素の値に空のネストレベル(部分文字列「//
」)を含めることはできず、「/
」文字で開始または終了できません。
JSON フィードではルート要素にワイルドカードを使用できません。
処理されたボディとその添付ファイルのインジケーターを含む結果のフィードの最初の 50 の文字列が表示されます。
メッセージボディの解析ルールの構成
これらのルールには、インジケーターおよびメッセージボディのコンテキストを解析するための正規表現が含まれます。
メッセージボディの解析ルールを指定するには:
インジケータータイプを選択します。
この名前は、マッチングプロセスで参照されます。
フィールド名では、ラテン文字、数字、下線、およびハイフンを使用できます。名前には、少なくとも 1 つのラテン文字が含まれている必要があります。
必要に応じて、[Regular expression]フィールドで、事前設定の正規表現を選択したり、修正したりできます。
URL および IP インジケーターでは、事前設定の正規表現は、インジケーター受信するように設定されます。この値では、ドットは括弧で囲まれています。(例:badurl[.].com)。
CyberTrace バージョン 4.2 では、MD5、SHA1、SHA256 の正規表現で、より長い値のフラグメントをより長いインジケーターから抽出可能です(a-f
の文字と数字で構成されている、より長いハッシュや URL など)。MD5、SHA1、SHA256 の既定の正規表現を、より特定的なものに置換することを推奨します。たとえば、MD5 には [^\da-fA-F]([\da-fA-F]{32})[^\da-fA-F]
instead of ([\da-fA-F]{32})
が使用できます。
[Add new expression]をクリックし、正規表現をもう 1 つ適用します。
除外ルールを適用する場合は、正規表現を使用します。
処理されたメッセージとその添付ファイルのインジケーターを含む、結果のフィードの最初の 50 文字列が表示されます。