ステップ 4：検証テストの実行（Splunk、単一インスタンスの連携）

このセクションでは、検証テストを実行して Kaspersky CyberTrace の機能を検証する方法について説明します。

マッチングプロセスの設定を編集する前に、必ず検証テストを実行してください。

検証テストについて

検証テストは、Kaspersky CyberTrace の機能を検証し、連携の正確さを確認するために使用される手順です。

このテストでは、Kaspersky CyberTrace サービスが Splunk からイベントを受信しているか、Splunk が Kaspersky CyberTrace サービスからイベントを受信しているか、Kaspersky CyberTrace サービスが正規表現を使用してイベントを正しく解析しているかどうかを検証します。

このセクションでは、既定の連携スキームにおける検証シナリオについて説明します（このスキームでは、Forwarder、Indexer、Search Head は単一のコンピューターにインストールされます）。ただし、構成パラメータに変更が加えられた後に、Kaspersky CyberTrace と SIEM ソリューションが正しく機能していることを確認するために、検証テストを使用することもできます。

検証テストファイル

ファイル %service_dir%/verification/kl_verification_test_cef.txt は検証テストファイルです。このファイルには、URL、IP アドレス、ハッシュを含むイベントの集合が含まれます。

検証テストのシナリオ（要約）

検証テストを実行するには：

1. ログスキャナーユーティリティの設定情報ファイルで Splunk Forwarder のアドレスを指定します。
2. ログスキャナーユーティリティを使用して検証ファイルを Kaspersky CyberTrace サービスに送信します。
3. 検証テストの結果と［Kaspersky CyberTrace Matches］ダッシュボードに表示されたターゲット数を比較します。
4. セルフテストを実行します。

   セルフテストは、Kaspersky CyberTrace App によって実行される自動フィードテストです。

5. オプションとして、検証テストの実行中に受信した Splunk のイベントを消去します。

検証テストのシナリオ

検証テストのシナリオは以下のステージで進みます：

ステージ 1。ログスキャナー設定情報ファイルでの Splunk Forwarder アドレスの指定

ログスキャナー設定情報ファイルの［Connection］要素で、Splunk Forwarder がリッスンするアドレスとポートを指定します。

ステージ 2。検証ファイルの Splunk Forwarder への送信

ログスキャナーユーティリティを使用して、検証ファイルを Splunk Forwarder に送信する必要があります。

ファイルを送信する前に、Kaspersky CyberTrace サービスが実行中であることを確認します。

以下は、ファイル kl_verification_test_cef.txt のコンテンツを Kaspersky CyberTrace サービスに送信するコマンドです：

• Linux：./log_scanner -p ../verification/kl_verification_test_cef.txt
• Windows：log_scanner.exe -p ..\verification\kl_verification_test_cef.txt

ログスキャナーからデータを受信すると、Splunk Forwarder はテスト結果を CyberTrace に送信します。検証ファイルの検知されたインジケーターが Splunk Forwarder に返送されます。Splunk Forwarder のアドレスは、Kaspersky CyberTrace の［Service settings］で指定されます。また、このアドレスは、Kaspersky CyberTrace のインストール中または再構成中に指定されます。

ステージ 3。検証テスト結果の確認

このステップでは、URL、IP アドレス、ハッシュが Kaspersky CyberTrace App によって適切に処理されているかを確認する必要があります。

検証に使用されるテストレコードの IP アドレスは、［Location of matched IPs］マップには表示されません。マップが適切に機能しているかを確認するには、Kaspersky CyberTrace データベースの他のレコードを使用することを推奨します。IP アドレスを含むレコードは、Kaspersky CyberTrace Web の［Indicators］タブで取得できます。

検証テストの結果を確認するには：

1. Kaspersky CyberTrace App のナビゲーションバーで［Kaspersky CyberTrace Matches］を選択します。

   ［Kaspersky CyberTrace Matches］ダッシュボードが開きます。

2. ［Matches by eventName］パネルに表示されている数と、以下の表の検知されたオブジェクトの数を比較します。

   検証テスト結果は、使用するフィードによって異なります。次の表に、すべての製品版フィードが使用される場合の検証テストのターゲット数をまとめます。

   検証テスト結果（製品版フィード）

   使用されたフィード	eventName の値	検知されたオブジェクト
   Malicious URL Data Feed	KL_Malicious_URL	http://fakess123.nu http://badb86360457963b90faac9ae17578ed.com
   Phishing URL Data Feed	KL_Phishing_URL	http://fakess123ap.nu http://e77716a952f640b42e4371759a661663.com
   Botnet C&C URL Data Feed	KL_BotnetCnC_URL	http://fakess123bn.nu http://a7396d61caffe18a4cffbb3b428c9b60.com
   IP Reputation Data Feed	KL_IP_Reputation	192.0.2.0 192.0.2.3
   Malicious Hash Data Feed	KL_Malicious_Hash_MD5	FEAF2058298C1E174C2B79AFFC7CF4DF 44D88612FEA8A8F36DE82E1278ABB02F C912705B4BBB14EC7E78FA8B370532C9
   Mobile Malicious Hash Data Feed	KL_Mobile_Malicious_Hash_MD5	60300A92E1D0A55C7FDD360EE40A9DC1
   Mobile Botnet C&C URL Data Feed	KL_Mobile_BotnetCnC_Hash_MD5	001F6251169E6916C455495050A3FB8D
   Mobile Botnet C&C URL Data Feed	KL_Mobile_BotnetCnC_URL	http://sdfed7233dsfg93acvbhl.su/steallallsms.php
   Ransomware URL Data Feed	KL_Ransomware_URL	http://fakess123r.nu http://fa7830b4811fbef1b187913665e6733c.com
   APT URL Data Feed	KL_APT_URL	http://b046f5b25458638f6705d53539c79f62.com
   APT Hash Data Feed	KL_APT_Hash_MD5	7A2E65A0F70EE0615EC0CA34240CF082
   APT IP Data Feed	KL_APT_IP	192.0.2.4
   IoT URL Data Feed	KL_IoT_URL	http://e593461621ee0f9134c632d00bf108fd.com/.i
   ICS Hash Data Feed	KL_ICS_Hash_MD5	7A8F30B40C6564EFF95E678F7C43346C

次の表に、デモ用のフィードのみが使用される場合の検証テストのターゲット数をまとめます。

検証テスト結果（デモ用のフィード）

ステージ 4。セルフテストの実行

セルフテストは、Kaspersky CyberTrace App がルックアップスクリプトを使用して実行する自動フィードテストです。このテストの結果が正しいことを確認する必要があります。

セルフテストを実行するには：

1. Kaspersky CyberTrace App のナビゲーションバーで［Kaspersky CyberTrace Status］を選択します。

   ［Kaspersky CyberTrace Status］ダッシュボードが開きます。

2. ［Self-test］パネルで、使用しているすべてのフィードの status 値を確認します：
   • デモ用のフィードのみを使用している場合、デモ用のフィードの値は OK、その他のフィードの値はすべて FALSE でなければなりません。
   • 製品版フィードを使用している場合、使用しているすべてのフィードの値は OK でなければなりません。デモ用のフィードの値を含むその他の値はすべて、FALSE でなければなりません。

以下の図は、製品版フィードのセルフテスト結果の例です。この例では、すべての製品版フィードが使用されており、デモ用のフィードは使用されていません。デモ用のフィードの値は予想通り FALSE です。

セルフテスト結果

ステージ 5（オプション）。検証テストの実行中に受信した Splunk のイベントの消去

検証テストの実行中に Kaspersky CyberTrace から受信した Splunk のイベントを消去するには：

1. Splunk Web の［Search］ダッシュボードで、［Search & Reporting］をクリックして Search & Reporting アプリを実行します。
2. Kaspersky CyberTrace から受信したイベントを削除するには：

   main インデックスからのイベントを削除できるのは、can_delete ロールを持つユーザーアカウントのみです。このロールをユーザーアカウントに追加するには、Splunk メインメニューで［Settings］→［Roles］の順に選択します。

   1. ［Search］フィールドに、次のコマンドを入力します：

      index="main" sourcetype="kl_cybertrace_events" | delete

   2. ［Search］フィールドの隣にある［All time］スプリットボタンをクリックします。

      スプリットボタンに別の名前が付いている場合は、そのスプリットボタンをクリックし、ドロップダウンリストで［All time］を選択します。

   3. ［Search］（）をクリックします。

   

   Search & Reporting アプリ