サービスの設定(一般的なテナント)
2024年4月11日
ID 156531
Kaspersky CyberTrace Web ユーザーインターフェイスでは、[Settings]タブ→[Service]タブの順に選択することで、一般的なサービス設定を管理できます。ウィンドウの左上領域で、使用可能なテナントがすべて含まれているドロップダウンリストから[General]を選択してください。
[Service]タブでは、設定情報ファイル kl_feed_util.conf および kl_feed_service_log.conf に保存されている設定を編集できます。タブの下にあるリンクをクリックすると、以下の操作を実行できます:
- CyberTrace サービスを再起動します
- 設定情報ファイルのエクスポート
設定情報ファイル kl_feed_service.conf および kl_feed_util.conf を、選択したディレクトリにエクスポートできます。
- セルフテストの実行
使用する Kaspersky Threat Data Feeds が適切に機能するかを検証します。
[Filtering rules for feeds]セクションで[Settings]→[Feeds]タブを選択して、フィルタリングルールを編集する前に、必ずセルフテストを実行してください。
検証テスト(セルフテスト)が誤った結果を生成した場合(つまり、あるフィードが予想に反して何も検知を生成しなかった場合)は、「一般的なトラブルシューティング」セクションでこの問題に対する可能な解決策を参照してください。問題が継続する場合は、担当のテクニカルアカウントマネージャー(TAM)にお問い合わせください。
- 統計のリセット
ダッシュボードのすべての検知統計情報を消去します。一般的なテナントを選択した場合、すべてのテナントの検知統計情報が消去されます。
Kaspersky CyberTrace と SIEM ソリューションを連携した後に、この操作を実行することを推奨します。そうすることで、ダッシュボードには、検証テスト中に生成された検知イベントは表示されず、本物の検知イベントのみが(存在する場合)表示されるようになります。
[Settings]タブには、次のいずれかの Kaspersky CyberTrace サービスステータスが表示されます:
- CyberTrace サービスが実行中です
- CyberTrace サービスが起動中です
- CyberTrace サービスが停止されました
このステータスは、インジケーターがデータベースにロードされ、インデックス付けされている途中であることを示しています。すべてのインジケーターが処理されるまでは、[Indicators]タブに部分的に古い情報が含まれ、更新中のデータの検索が適切に行われない可能性があります。ただし、受信イベントのマッチングプロセスは実際のデータを基に実行され、インジケーターに関する詳細情報を表示する Kaspersky CyberTrace Web ページには最新のデータが表示されます。
接続の設定
[Service]タブの[Connection settings]セクションでは、以下を設定できます:
- Kaspersky CyberTrace サービスが受信イベントをリッスンする IP アドレスとポート(Linux では UNIX ソケットも設定可能)
これらの設定は、ファイル kl_feed_service.conf の[
InputSettings]→[ConnectionString]要素に保存されます。 - Kaspersky CyberTrace サービスが検知イベントとアラートイベントを送信する IP アドレスとポート(Linux では UNIX ソケットも設定可能)
これらの設定は、ファイル kl_feed_service.conf の[
OutputSettings]→[ConnectionString]要素に保存されます。 - Kaspersky CyberTrace サービスが、イベントターゲットソフトウェアにサービスの状態を知らせるアラートイベントを送信する IP アドレスまたはホスト名、およびポート(Linux では UNIX ソケットも設定可能)
これらの設定は、ファイル kl_feed_service.conf の[
OutputSettings]→[AlertConnectionString]要素に保存されます。Kaspersky CyberTrace Web を使用してこの設定を有効化または無効化できます。この設定が有効化されている場合、Kaspersky CyberTrace は、ファイル kl_feed_service.conf の[
OutputSettings]→[ ConnectionString]要素に保存されている IP アドレスとポートにアラートイベントを送信しません。 - フィード更新用のプロキシサーバーの IP アドレスまたはホスト名
この設定は、ファイル kl_feed_util.conf の[
Host]要素に保存されます。 - フィード更新用のプロキシサーバーのポート
この設定は、ファイル kl_feed_util.conf の[
Port]要素に保存されます。事前設定値は
0です。プロキシサーバーを使用しない場合は、この値を変更しないでください。 - プロキシのユーザー名
この設定は、ファイル kl_feed_util.conf の[
User]要素に暗号化されて保存されます。 - プロキシのパスワード
この設定は、ファイル kl_feed_util.conf の[
Password]要素に暗号化されて保存されます。
プロキシサーバーでも、IPv6 アドレスを使用して受信イベントの受信や送信イベントの送信を行うことができます。
Web インターフェイスの外部アドレス
[Service]タブの[Web interface]セクションでは、Kaspersky CyberTrace イベントで使用する IP アドレスまたはホスト名を指定できます。
この設定は、ファイル kl_feed_service.conf の[ResourcesIP]要素に保存されます。
事前設定値は 127.0.0.1 です。
IPv6 アドレスを Web インターフェイスの外部アドレスとして使用できます。