このページは Cloud Translation API によって翻訳されました。

Kaspersky AV のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Kaspersky Antivirus ログを Google Security Operations に取り込む方法について説明します。パーサーコードは、まず未加工のログメッセージを JSON として解析しようとします。失敗した場合は、一般的な Kaspersky AV ログ形式に基づいて、正規表現（grok パターン）を使用してメッセージからフィールドを抽出します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
Kaspersky Antivirus への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: KASPERSKY_AV
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Kaspersky AV でイベントのエクスポートを設定する

Kaspersky Security Center コンソールにログインします。
エクスポートするイベントの 管理サーバーを選択します。
[管理サーバー] ワークスペースで、[イベント] タブをクリックします。
[Configure notifications and event export]（通知とイベントのエクスポートを構成）リンクをクリックします。
リストで [SIEM システムへのエクスポートを構成する] を選択します。
次の構成の詳細を指定します。
- SIEM システム: [Arcsight（CEF 形式）] を選択します。
- SIEM システムサーバーアドレス: Bindplane エージェントの IP アドレスを入力します。
- SIEM システムサーバーポート: Bindplane エージェントのポート番号を入力します（例: UDP の場合は 514）。
- Protocol: [UDP] を選択します。
[OK] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
アプリケーション	network.http.user_agent	未加工ログの `Application` フィールドから直接マッピングされます。
アプリケーションパス	target.process.file.full_path	`Name` フィールドとともに使用され、`Application path` が未加工ログに存在する場合にフルパスを構築します。
コンポーネント	target.resource.name	未加工ログの `Component` フィールドから直接マッピングされます。
コンテンツカテゴリ	security_result.category_details	未加工ログに `Content category` が存在する場合、`security_result.category_details` フィールドに追加されます。
コンテンツカテゴリのソース	target.resource.type	値に `databases` が含まれている場合、UDM フィールドは `DATABASE` に設定されます。
Erreur	security_result.summary	`summary` フィールドが空の場合、未加工ログの `Erreur` フィールドから直接マッピングされます。
et	metadata.product_event_type	`product_event_type` フィールドが空の場合、未加工ログの `et` フィールドから直接マッピングされます。
et	security_result.category_details	`security_result.category_details` フィールドに追加されました。
etdn	extensions.vulns.vulnerabilities.description	未加工ログの `etdn` フィールドから直接マッピングされます。
ファイルの SHA256 ハッシュ	target.process.file.sha256	未加工ログの `File SHA256 hash` フィールドから直接マッピングされます。
gn	security_result.about.labels	`key` は `GN` に設定され、`value` は `gn` フィールドの値に設定されます。
hdn	principal.hostname	未加工ログの `hdn` フィールドから直接マッピングされます。
腰	principal.ip	未加工ログの `hip` フィールドから直接マッピングされます。
host_name	principal.hostname	未加工ログの `host_name` フィールドから直接マッピングされます。
intermediary_host	intermediary.hostname	未加工ログの `intermediary_host` フィールドから直接マッピングされます。
intermediary_hostname	intermediary.hostname	未加工ログの `intermediary_hostname` フィールドから直接マッピングされます。
kv_data1		このフィールドは解析され、その値は他の UDM フィールドにマッピングされます。
kv_data2		このフィールドは解析され、その値は他の UDM フィールドにマッピングされます。
ラベル	network.http.user_agent	値が `User-Agent` の場合、UDM フィールドには `description` フィールドの値が入力されます。
ラベル	principal.hostname	値が `Host` の場合、UDM フィールドには `description` フィールドから抽出されたホスト名が入力されます。
ラベル	security_result.description	その他の値の場合、UDM フィールドには `label` フィールドと `description` フィールドを含む文字列が入力されます。
MD5	target.process.file.md5	未加工ログの `MD5` フィールドから直接マッピングされ、小文字に変換されます。
MD5 ファイルハッシュ	target.process.file.md5	未加工ログの `MD5 file hash` フィールドから直接マッピングされます。
メッセージ		このフィールドは解析され、その値は他の UDM フィールドにマッピングされます。
method	network.http.method	HTTP メソッドのリストと一致する場合は、未加工ログの `method` フィールドから直接マッピングされます。
name	target.file.full_path	未加工ログの `name` フィールドから直接マッピングされます。
Nom	target.process.file.full_path	`application_path` フィールドとともに使用して、フルパスを構築します。
p1	target.process.file.sha256	`SHA256` フィールドが空で、値が 16 進文字列の場合、未加工ログの `p1` フィールドから直接マッピングされ、小文字に変換されます。
p2	target.process.file.full_path	未加工ログの `p2` フィールドから直接マッピングされます。
p5	security_result.rule_name	未加工ログの `p5` フィールドから直接マッピングされます。
p7	principal.user.user_display_name	`User` フィールドと `user_name` フィールドが空の場合、未加工ログの `p7` フィールドから直接マッピングされます。
プロセス ID	principal.process.pid	未加工ログの `Process ID` フィールドから直接マッピングされます。
process_id	target.process.pid	未加工ログの `process_id` フィールドから直接マッピングされます。
プロトコル	network.application_protocol	値に `http`（大文字と小文字を区別しない）が含まれている場合、UDM フィールドは `HTTP` に設定されます。
理由	security_result.summary	未加工ログの `Reason` フィールドから直接マッピングされます。
リクエストされたウェブページ	target.url	未加工ログの `Requested web page` フィールドから直接マッピングされます。
結果		値が `Allowed` の場合、`sr_action` フィールドは `ALLOW` に設定されます。
rtid	security_result.about.labels	`key` は `rtid` に設定され、`value` は `rtid` フィールドの値に設定されます。
ルール	security_result.description	未加工ログの `Rule` フィールドから直接マッピングされます。
SHA256	target.process.file.sha256	未加工ログの `SHA256` フィールドから直接マッピングされ、小文字に変換されます。
sr_action	security_result.action	`security_result.action` フィールドに統合されます。
概要	security_result.summary	未加工ログの `summary` フィールドから直接マッピングされます。
task_name	security_result.about.labels	`key` は `TaskName` に設定され、`value` は `task_name` フィールドの値に設定されます。
threat_action_taken		値が `blocked` の場合、`security_action` フィールドは `BLOCK` に設定されます。値が `allowed` の場合、`security_action` フィールドは `ALLOW` に設定されます。
timestamp	metadata.event_timestamp	イベントタイムスタンプの入力に使用されます。
タイプ	security_result.threat_name	未加工ログの `Type` フィールドから直接マッピングされます。
URL	network.http.referral_url	未加工ログの `url` フィールドから直接マッピングされます。
ユーザー	principal.user.user_display_name	ユーザー名は、このフィールドから抽出され、UDM フィールドにマッピングされます。
ユーザー	principal.administrative_domain	ドメインはこのフィールドから抽出され、UDM フィールドにマッピングされます。
user_name	principal.user.user_display_name	`User` フィールドが空の場合、未加工ログの `user_name` フィールドから直接マッピングされます。
	metadata.event_type	`Application path` と `Name` が存在する場合は `SCAN_VULN_NETWORK`、`hdn` または `host_name` が存在する場合は `STATUS_UNCATEGORIZED`、それ以外の場合は `GENERIC_EVENT` に設定します。
	metadata.vendor_name	常に `KASPERSKY` に設定。
	metadata.product_name	常に `KASPERSKY_AV` に設定。
	metadata.log_type	常に `KASPERSKY_AV` に設定。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。