ステップ 5. カスタムイベントプロパティの取得
このセクションでは、標準フィールドに加えて、Kaspersky CyberTrace の送信イベントからカスタムイベントプロパティを取得するための設定方法について説明します。この設定を行うと、MD5、SHA1、および SHA256 ハッシュが抽出され、ソース IP フィールドの抽出ルールが再定義されます。
カスタムイベントプロパティの取得を設定するには:
- [Log Activity]タブを選択し、[Add Filter]をクリックします。
[Add Filter]フォームが表示されます。
- 次のようにフォームに入力します:
- [Parameter]ドロップダウンリストで、[
Log Source [Indexed]]を選択します。 - [Operator]ドロップダウンリストで、[
Equals]を選択します。 - [Log Source]リストで、[
KL_Threat_Feed_Service_v2]を選択します。選択した[
KL_Threat_Feed_Service_v2]はログソース名であり、Kaspersky CyberTrace サービス設定情報ファイルの[OutputSettings]→[EventFormat]要素および[OutputSettings]→[AlertFormat]要素で設定されています(Kaspersky CyberTrace Web を使用して設定することもできます)。
![QRadar の[Add Filter]ウィンドウ。](adding_a_filter_qradar.png)
フィルターの追加
- [Parameter]ドロップダウンリストで、[
- [Add Filter]をクリックします。
- 検証テストを実行し、ウィンドウの右上にある[ Pause](
![QRadar の[Pause]アイコン。](qradar_pause.png)
) をクリックしてイベントのフローを停止します。 - Ctrl(または Shift)を押しながら複数のレコードを選択し、[Actions]→[DSM editor]を選択します。
![QRadar の[DSM Editor]メニュー項目。](log_activity_tab.png)
[Log Activity]ウィンドウ
[DSM Editor]ウィンドウが表示されます。
![[DSM Editor]ウィンドウ。](dsm_editor_window.png)
[DSM Editor]ウィンドウ
- [DSM Editor]ウィンドウで、[Filters]テキストボックスの近くにある[+]をクリックします。
[Choose a Custom Property Definition to Express]フォームが表示されます。
![QRadar の[Choose a Custom Property Definition to Express]ウィンドウ。](choosing_a_custom_property.png)
カスタムプロパティの選択
- [Create New]をクリックします。
[Create a new Custom Property Definition]フォームが表示されます。
- 次のようにフォームに入力します:
- [Name]フィールドに「
MD5」と入力します。 - [Field Type]ドロップダウンリストで[
Text]を選択します。 - [Description]フィールドにプロパティの説明を入力します。
- [Enable this Property for Use in Rules and Search Indexing]をオンにします。
- [Save]をクリックします。
![QRadar の[Creating a new Custom Property Definition]。](creating_a_new_custom_prop_def.png)
新しいカスタムプロパティ定義の作成
- [Name]フィールドに「
- 同様に、[
SHA1]と[SHA256]の各プロパティを追加します。 - [Choose a Custom Property Definition to Express]ウィンドウで、作成したプロパティを選択し、URL とソース IP を追加し、[Select]をクリックします。
- [Log Activity Preview]セクションで、[Configure]をクリックし、以下のプロパティを選択します:
Event NameIP (custom)MD5 (custom)SHA1 (custom)SHA256 (custom)Source IPURL (custom)Username
[Update]をクリックします。
![QRadar の[Configuring Preview Columns]ウィンドウ。](configuring_preview_columns.png)
プレビューの列の設定
- [Properties]タブで、以下のテーブルに示す通りに正規表現を設定します:
カスタムプロパティ
正規表現
MD5
md5=([\da-fA-F]{32})SHA1
sha1=([\da-fA-F]{40})SHA256
sha256=([\da-fA-F]{64})URL
url=([-a-zA-Z0-9()@:%_\+.~#?&\/\/=]{2,})Source IP
src=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})必要に応じて、 [Capture Group]フィールドに「
1」を入力します。 - [Source IP]プロパティで[Override system behavior]をオンにします。
![QRadar でのソース IP の設定。[Override system behavior]。](source_ip_configuration.png)
ソース IP の設定
Kaspersky CyberTrace で送信検知イベントの形式を変更する場合、それに伴い、上記で指定した正規表現の変更が必要になる場合があります。
上記の設定がすべて適切に指定されていれば、設定したカスタムプロパティが[Log Activity Preview]セクションに表示されます。
- [Save]をクリックしてウィンドウを閉じます。
- [Log Activity]タブで、新しい検証テストを実行します。
その後、
KL_Threat_Feed_Service_v2から受信したイベントを開くと、設定したカスタムプロパティが表示されます。![QRadar の[Event Information]セクション。](event_information.png)
イベント情報