ステップ 4:検証テストの実行(Splunk、単一インスタンスの連携)
2024年4月11日
ID 166083
このセクションでは、検証テストを実行して Kaspersky CyberTrace の機能を検証する方法について説明します。
マッチングプロセスの設定を編集する前に、必ず検証テストを実行してください。
検証テストについて
検証テストは、Kaspersky CyberTrace の機能を検証し、連携の正確さを確認するために使用される手順です。
このテストでは、Kaspersky CyberTrace サービスが Splunk からイベントを受信しているか、Splunk が Kaspersky CyberTrace サービスからイベントを受信しているか、Kaspersky CyberTrace サービスが正規表現を使用してイベントを正しく解析しているかどうかを検証します。
このセクションでは、既定の連携スキームにおける検証シナリオについて説明します(このスキームでは、Forwarder、Indexer、Search Head は単一のコンピューターにインストールされます)。ただし、構成パラメータに変更が加えられた後に、Kaspersky CyberTrace と SIEM ソリューションが正しく機能していることを確認するために、検証テストを使用することもできます。
検証テストファイル
ファイル %service_dir%/verification/kl_verification_test_cef.txt
は検証テストファイルです。このファイルには、URL、IP アドレス、ハッシュを含むイベントの集合が含まれます。
検証テストのシナリオ(要約)
検証テストを実行するには:
- ログスキャナーユーティリティの設定情報ファイルで Splunk Forwarder のアドレスを指定します。
- ログスキャナーユーティリティを使用して検証ファイルを Kaspersky CyberTrace サービスに送信します。
- 検証テストの結果と[Kaspersky CyberTrace Matches]ダッシュボードに表示されたターゲット数を比較します。
- セルフテストを実行します。
セルフテストは、Kaspersky CyberTrace App によって実行される自動フィードテストです。
- オプションとして、検証テストの実行中に受信した Splunk のイベントを消去します。
検証テストのシナリオ
検証テストのシナリオは以下のステージで進みます:
ステージ 1。ログスキャナー設定情報ファイルでの Splunk Forwarder アドレスの指定
ログスキャナー設定情報ファイルの[Connection
]要素で、Splunk Forwarder がリッスンするアドレスとポートを指定します。
ステージ 2。検証ファイルの Splunk Forwarder への送信
ログスキャナーユーティリティを使用して、検証ファイルを Splunk Forwarder に送信する必要があります。
ファイルを送信する前に、Kaspersky CyberTrace サービスが実行中であることを確認します。
以下は、ファイル kl_verification_test_cef.txt
のコンテンツを Kaspersky CyberTrace サービスに送信するコマンドです:
- Linux:
./log_scanner -p ../verification/kl_verification_test_cef.txt
- Windows:
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
ログスキャナーからデータを受信すると、Splunk Forwarder はテスト結果を CyberTrace に送信します。検証ファイルの検知されたインジケーターが Splunk Forwarder に返送されます。Splunk Forwarder のアドレスは、Kaspersky CyberTrace の[Service settings]で指定されます。また、このアドレスは、Kaspersky CyberTrace のインストール中または再構成中に指定されます。
ステージ 3。検証テスト結果の確認
このステップでは、URL、IP アドレス、ハッシュが Kaspersky CyberTrace App によって適切に処理されているかを確認する必要があります。
検証に使用されるテストレコードの IP アドレスは、[Location of matched IPs]マップには表示されません。マップが適切に機能しているかを確認するには、Kaspersky CyberTrace データベースの他のレコードを使用することを推奨します。IP アドレスを含むレコードは、Kaspersky CyberTrace Web の[Indicators]タブで取得できます。
検証テストの結果を確認するには:
- Kaspersky CyberTrace App のナビゲーションバーで[Kaspersky CyberTrace Matches]を選択します。
[Kaspersky CyberTrace Matches]ダッシュボードが開きます。
- [Matches by eventName]パネルに表示されている数と、以下の表の検知されたオブジェクトの数を比較します。
検証テスト結果は、使用するフィードによって異なります。次の表に、すべての製品版フィードが使用される場合の検証テストのターゲット数をまとめます。
検証テスト結果(製品版フィード)
使用されたフィード
eventName の値
検知されたオブジェクト
Malicious URL Data Feed
KL_Malicious_URL
http://fakess123.nu
http://badb86360457963b90faac9ae17578ed.com
Phishing URL Data Feed
KL_Phishing_URL
http://fakess123ap.nu
http://e77716a952f640b42e4371759a661663.com
Botnet C&C URL Data Feed
KL_BotnetCnC_URL
http://fakess123bn.nu
http://a7396d61caffe18a4cffbb3b428c9b60.com
IP Reputation Data Feed
KL_IP_Reputation
192.0.2.0
192.0.2.3
Malicious Hash Data Feed
KL_Malicious_Hash_MD5
FEAF2058298C1E174C2B79AFFC7CF4DF
44D88612FEA8A8F36DE82E1278ABB02F
C912705B4BBB14EC7E78FA8B370532C9
Mobile Malicious Hash Data Feed
KL_Mobile_Malicious_Hash_MD5
60300A92E1D0A55C7FDD360EE40A9DC1
Mobile Botnet C&C URL Data Feed
KL_Mobile_BotnetCnC_Hash_MD5
001F6251169E6916C455495050A3FB8D
Mobile Botnet C&C URL Data Feed
KL_Mobile_BotnetCnC_URL
http://sdfed7233dsfg93acvbhl.su/steallallsms.php
Ransomware URL Data Feed
KL_Ransomware_URL
http://fakess123r.nu
http://fa7830b4811fbef1b187913665e6733c.com
APT URL Data Feed
KL_APT_URL
http://b046f5b25458638f6705d53539c79f62.com
APT Hash Data Feed
KL_APT_Hash_MD5
7A2E65A0F70EE0615EC0CA34240CF082
APT IP Data Feed
KL_APT_IP
192.0.2.4
IoT URL Data Feed
KL_IoT_URL
http://e593461621ee0f9134c632d00bf108fd.com/.i
ICS Hash Data Feed
KL_ICS_Hash_MD5
7A8F30B40C6564EFF95E678F7C43346C
次の表に、デモ用のフィードのみが使用される場合の検証テストのターゲット数をまとめます。
検証テスト結果(デモ用のフィード)
使用されたフィード | eventName の値 | 検知されたオブジェクト |
DEMO Botnet_CnC_URL_Data_Feed | KL_BotnetCnC_URL | http://5a015004f9fc05290d87e86d69c4b237.com http://fakess123bn.nu |
DEMO IP_Reputation_Data_Feed | KL_IP_Reputation | 192.0.2.1 192.0.2.3 |
DEMO Malicious_Hash_Data_Feed | KL_Malicious_Hash_MD5 | 776735A8CA96DB15B422879DA599F474 FEAF2058298C1E174C2B79AFFC7CF4DF 44D88612FEA8A8F36DE82E1278ABB02F |
ステージ 4。セルフテストの実行
セルフテストは、Kaspersky CyberTrace App がルックアップスクリプトを使用して実行する自動フィードテストです。このテストの結果が正しいことを確認する必要があります。
セルフテストを実行するには:
- Kaspersky CyberTrace App のナビゲーションバーで[Kaspersky CyberTrace Status]を選択します。
[Kaspersky CyberTrace Status]ダッシュボードが開きます。
- [Self-test]パネルで、使用しているすべてのフィードの
status
値を確認します:- デモ用のフィードのみを使用している場合、デモ用のフィードの値は
OK
、その他のフィードの値はすべてFALSE
でなければなりません。 - 製品版フィードを使用している場合、使用しているすべてのフィードの値は
OK
でなければなりません。デモ用のフィードの値を含むその他の値はすべて、FALSE
でなければなりません。
- デモ用のフィードのみを使用している場合、デモ用のフィードの値は
以下の図は、製品版フィードのセルフテスト結果の例です。この例では、すべての製品版フィードが使用されており、デモ用のフィードは使用されていません。デモ用のフィードの値は予想通り FALSE
です。
セルフテスト結果
ステージ 5(オプション)。検証テストの実行中に受信した Splunk のイベントの消去
検証テストの実行中に Kaspersky CyberTrace から受信した Splunk のイベントを消去するには:
- Splunk Web の[Search]ダッシュボードで、[Search & Reporting]をクリックして Search & Reporting アプリを実行します。
- Kaspersky CyberTrace から受信したイベントを削除するには:
main インデックスからのイベントを削除できるのは、can_delete ロールを持つユーザーアカウントのみです。このロールをユーザーアカウントに追加するには、Splunk メインメニューで[Settings]→[Roles]の順に選択します。
- [Search]フィールドに、次のコマンドを入力します:
index="main" sourcetype="kl_cybertrace_events" | delete
- [Search]フィールドの隣にある[All time]スプリットボタンをクリックします。
スプリットボタンに別の名前が付いている場合は、そのスプリットボタンをクリックし、ドロップダウンリストで[All time]を選択します。
- [Search]()をクリックします。
Search & Reporting アプリ
- [Search]フィールドに、次のコマンドを入力します: