Kaspersky CyberTrace について
2024年4月11日
ID 162416
Kaspersky CyberTrace ドキュメントへようこそ。
Kaspersky CyberTrace とは
Kaspersky CyberTrace は、 Kaspersky Threat Data Feeds を含む様々なソースからのセキュリティ侵害インジケーター(IoC)を集約し、脅威データフィードを SIEM ソリューションと統合して、セキュリティイベントログ内のセキュリティ侵害インジケーターを自動的に検索したり、組織の既存のセキュリティ運用ワークフロー内でインシデントに関するアラートを生成したりする脅威インテリジェンスプラットフォームです。
Kaspersky CyberTrace では、定期的に更新される脅威データフィードを使用して、使用中の IoC データベースをアップデートし、セキュリティイベントログ内のサイバー脅威を検知し、脅威に関連するリスクについてセキュリティ担当者に通知します。
Kaspersky CyberTrace は、脅威データソース(カスペルスキーや他ベンダーの脅威データフィード、OSINT feeds、カスタムソースからのフィード)、SIEM ソリューション、およびセキュリティイベントログのソースと連携します。セキュリティ侵害インジケーター(IoC)を環境内で検知すると、Kaspersky CyberTrace は検知されたインジケーターに対するアラートに背景情報を追加して SIEM に自動で送信します。Kaspersky CyberTrace は、分類と重複排除によりアラートと対応の選別を行うためのツール一式をアナリストに提供します。
社内ネットワークにおける Kaspersky CyberTrace
Kaspersky CyberTrace の特長:
- 受信したセキュリティイベントログを、Kaspersky Threat Data Feeds、OSINT feeds、一般的な形式(JSON、STIX、XML、CSV、MISP)の任意のカスタムフィードと自動的に照合する高度なマッチング機能。カスペルスキーと OSINT のデモ用のフィードは追加設定なしですぐに使用できます。
- Kaspersky CyberTrace に組み込まれた、受信イベントを解析して IoC と照合するプロセス。SIEM ソリューションの負荷を大幅に軽減します。Kaspersky CyberTrace は、受信したログとイベントを解析し、結果データをフィードと照合し、脅威が検知されるとアラートを生成します。その結果、SIEM ソリューションが処理するデータ量がはるかに少なくなります。
- フィードの効果を測定するためのフィード使用率の統計情報を生成します。
- 特定のインジケーター(ハッシュ、IP アドレス、ドメイン、URL)のオンデマンド検索を使用した脅威の調査。また、セキュリティイベントを手動でダウンロードし、検知された IoC に関するレポートを生成することもできます。
- SIEM ソリューションやその他のセキュリティ制御と連携させる普遍的なアプローチ。幅広い SIEM ソリューションに対応したコネクターを使用して、脅威検知に関するデータを可視化して効率的に管理できます。
- IoC データと関連の背景情報は、迅速にアクセスおよびフィルタリングできるよう、RAM に保管されます。
- Kaspersky CyberTrace の Web ユーザーインターフェイスである Kaspersky CyberTrace Web では、データの可視化機能、オンデマンドの IoC 検索機能、Kaspersky CyberTrace の構成へのアクセスが提供されます。また、フィード、ログ解析ルール、内部 TI、誤検知リストの管理、およびイベントソースもサポートされます。
- Windows および Linux プラットフォーム用のコマンドラインインターフェイス。
- フィードとログイベントの高度なフィルタリング。フィードは、時間、知名度、地理的位置、脅威タイプといった様々な一連の基準に基づいて、変換したり、フィルタリングしたりできます。ログイベントは、カスタム条件に基づいてフィルタリングできます。
- DMZ への部分的導入のサポート。イベントデータをフィードと照合するコンピューターをインターネットから分離し、DMZ 内にあるコンポーネントから脅威フィードの更新を受信できます。
- SIEM ソリューションと連携されないスタンドアロンモードでは、Kaspersky CyberTrace は、ネットワークデバイスなどの様々なソースからログを受信し、それらのログを定義済みの正規化ルールに従って処理し、定義済みの正規表現に従って解析します。
- フィードと一致するルックアップ結果は、他のシステム(ファイアウォール、ネットワーク、ホスト IDS/IPS、カスタムツール)との連携のために、CSV 形式にエクスポートします。
- 一部の脅威が悪意のあるアクティビティをセキュリティログで隠すために使用する難読化技術を公開します。
Kaspersky CyberTrace の主要なコンポーネントは、Kaspersky CyberTrace サービス、フィードユーティリティ、ログスキャナー、Kaspersky CyberTrace Web です。
Kaspersky CyberTrace の主要コンポーネント
Kaspersky CyberTrace の機能の詳細は、以下のビデオを視聴してください:
ドキュメントの内容
このドキュメントは次の章に分割されています:
- インストールおよび連携ガイド
この章では、Kaspersky CyberTrace のインストール、SIEM ソリューションおよびイベントソースとの連携、連携後の Kaspersky CyberTrace の構成に関するガイドについて説明します。
インストールおよび連携プロセスの第一歩として「はじめに」を参照してください。
- ユーザーガイド
この章では、Kaspersky CyberTrace の Web インターフェイスである Kaspersky CyberTrace Web、および SIEM ソリューションから Kaspersky CyberTrace へのアクセスを提供するアプリとダッシュボードについて詳しく説明します。
- 管理者ガイド
この章では、Kaspersky CyberTrace の管理について詳しく説明するとともに、Kaspersky CyberTrace の使用に関する高度なトピックを扱います。Kaspersky CyberTrace のコンポーネントと、これらのコンポーネントのワークフローについても、本章で説明します。
- トラブルシューティング
このセクションでは、Kaspersky CyberTrace の使用中に遭遇する一般的な問題の解決策について説明します。
- リスク緩和
このセクションでは、Kaspersky CyberTrace の使用に伴う潜在的なセキュリティリスクを緩和するためのガイドラインについて説明します。