インストールと連携の概要

このセクションでは、Kaspersky CyberTrace のインストールと連携のプロセスについて説明します。

はじめに

Kaspersky CyberTrace は 様々なイベントソースと連携できます。インストールと連携の手順は次の 2 つのパートに分かれます：

1. Kaspersky CyberTrace のインストール

   お使いのオペレーティングシステム向けのインストーラーパッケージの 1 つを使用して Kaspersky CyberTrace をインストールすることを推奨します。Linux では、DEB パッケージと RPM パッケージをインストールできます。Windows では、実行可能なインストーラーを使用できます。

   Kaspersky CyberTrace がインストールされたら、Kaspersky CyberTrace の Web インターフェイスでウィザードを使用して、インストール後の設定を実行します。このプロセスでは、SIEM ソリューションなどのイベントソースを選択し、イベントソースに接続パラメータを提供し、フィード更新を構成します。

   Kaspersky Threat Data Feeds の差分バージョンを使用する場合、Kaspersky CyberTrace のインストール後の設定を実行する前に、差分フィードを有効化する必要があります。

   インストール後の設定が完了すると、Kaspersky CyberTrace は設定されたイベントソースに既定のパラメータを使用します。たとえば、 選択されたイベントソースに対して設定された正規表現を使用して受信イベントを既定で解析し、脅威検知アラートに特別な形式を使用します。必要に応じて、指定されたパラメータを変更できます。

2. Kaspersky CyberTrace とイベントソースの連携

   このパートでは、Kaspersky CyberTrace にイベントを送信し、Kaspersky CyberTrace から脅威検知アラートを受信できるように、イベントソースを構成します。選択したイベントソースに応じて、Kaspersky CyberTrace イベントを使用する特定のアプリケーションやツールを追加でインストールすることもできます。たとえば、Kaspersky CyberTrace には、Splunk および QRadar 向けのアプリケーションや、RSA NetWitness 向けの事前構成済みのダッシュボードが用意されています。ログファイル、IP アドレス、URL、ハッシュを送信して Kaspersky CyberTrace と照合するために、特定のイベントソース向けのアプリケーションに加えて、ログスキャナーユーティリティも使用できます。

開始前の準備

Kaspersky CyberTrace を実行する予定のコンピューターが、ハードウェアとソフトウェアの要件を満たしていることを確認します。

Kaspersky CyberTrace をインストールするサーバーの日時が正しく設定されていることを確認します。NTP サーバーを使用すれば、正確な日時を取得できます。

ArcSight 製品では、Kaspersky CyberTrace をインストールする前に ArcSight SmartConnector をインストールする必要があります。詳細は、「開始前の準備（ArcSight）」セクションおよび「連携ガイド（ArcSight）」セクションを参照してください。

パート 1。Kaspersky CyberTrace のインストール

Kaspersky CyberTrace をインストールする際は、Kaspersky CyberTrace サービスやフィードユーティリティなど、フィードの使用に必要なすべてのコンポーネントをインストールして構成します。

Kaspersky CyberTrace は、SIEM ソリューション、ファイアウォール、プロキシサーバーなど、選択したイベントソースからイベントを受信できる任意のコンピューターにインストールできます。インストール中に Kaspersky CyberTrace を構成することによって、イベントの送受信方法を指定します。

選択した連携スキームに基づいて、Kaspersky CyberTrace をインストールしてください。たとえば、Kaspersky CyberTrace と SIEM ソリューションを別のコンピューターにインストールする必要がある場合は、SIEM ソリューションで使用できる連携スキームを確認し、Kaspersky CyberTrace をインストールする場所を決定します。

お使いのオペレーティングシステムに応じて、次のセクションでの説明に従って Kaspersky CyberTrace をインストールします：

• Linux システムへのインストール
• Windows システムへのインストール

Kaspersky CyberTrace のインストール後、以下を実行します：

• Kaspersky Threat Data Feeds の差分バージョンを使用する場合、差分フィードを有効化します。
• Kaspersky Threat Data Feeds の差分バージョンを使用しない場合、Kaspersky CyberTrace Web を開き、初期セットアップウィザードの手順に従います。

パート 2。Kaspersky CyberTrace とイベントソースの連携

セキュリティイベントログ内のセキュリティ侵害インジケーターを自動的に検知するには、 Kaspersky CyberTrace をイベント ソースと連携させる必要があります。このイベントソースは、スタンドアロンのイベントソース（ファイアウォールやプロキシサーバーなど）でも、SIEM ソリューションでも構いません。構成に従って、イベントソースはイベントを Kaspersky CyberTrace に送信し、Kaspersky CyberTrace は検知された脅威に関するアラートを SIEM やその他のアプリケーションに送信します。

次の SIEM ソリューションがサポートされています：

• Kaspersky Unified Monitoring and Analysis Platform
• Splunk
• ArcSight
• QRadar
• RSA NetWitness
• LogRhythm
• McAfee Enterprise Security Manager
• AlienVault USM/OSSIM
• FortiSIEM
• その他の SIEM および非 SIEM ソリューション