分散型連携スキームについて
2024年4月11日
ID 166123
Kaspersky CyberTrace では、分散型の Splunk 環境がサポートされます。分散型 Splunk 環境での連携スキームは、分散型連携スキームと呼ばれます。
分散型連携スキームで使用されるアプリとサービスについて
分散型連携スキームでは、Kaspersky CyberTrace は以下の 2 つのアプリと 1 つのサービスに分類されます:
- Kaspersky CyberTrace サービス
このサービスは Splunk イベントを Kaspersky Threat Data Feeds と照合します。
Kaspersky CyberTrace サービスは、Kaspersky CyberTrace から受信したイベントとインデックスを保持する単一の Indexer に結果イベントを送信します。
このサービスは、別のコンピューターにインストールできます。
- Kaspersky CyberTrace App Search Head(Search Head App)
このアプリには、Kaspersky CyberTrace App ダッシュボード、アラートテンプレート、ルックアップスクリプトが付属します。
このアプリは Splunk インスタンスにインストールされます。インストールされた Splunk インスタンスはサーチヘッドとして機能し、Kaspersky CyberTrace から受信したイベントとインデックスを保持する Indexer に検索リクエストを送信します。
- Kaspersky CyberTrace App Forwarder(Forwarder App)
このアプリには、Splunk から Kaspersky CyberTrace サービスにイベントを転送するためのルールが付属します。Kaspersky CyberTrace サービスからイベントも受信します。
このアプリは Splunk インスタンスにインストールされ、インストールされた Splunk インスタンスは Kaspersky CyberTrace サービスにイベントを転送します。
Kaspersky CyberTrace App Forwarder は、お使いの分散型連携スキームで使用されている Splunk Forwarder の種別に応じて、次の 2 つのアプリに分類されます:
- App for Heavy Forwarder
- App for Universal Forwarder
連携スキームのバリアントについて
分散型連携スキームの以下のバリアントは、Kaspersky CyberTrace とお使いの分散型 Splunk 環境を連携するための一般的なアプローチを示しています。お使いの分散型 Splunk 環境がどのように構成されているかによって、これらのバリアントを変更する、または組み合わせることが必要な場合があります。
単一 Indexer と複数 Forwarder のバリアント
単一 Indexer と複数 Forwarder
単一 Indexer と複数 Forwarder のバリアントでは、複数の Heavy Forwarder または Universal Forwarder がイベントを受信し、Kaspersky CyberTrace サービスにイベントを直接転送します。これらの Forwarder は、(それぞれの種別の)Forwarder App を使用する必要があります。Forwarder の 1 つが Kaspersky CyberTrace サービスから一致データを受信します。Forwarder は一致データを Indexer に送信し、Indexer は、Kaspersky CyberTrace for Splunk Search Head App が使用する main インデックスにその一致データを保管します。
複数 Indexer と複数 Forwarder のバリアント
複数 Indexer と複数 Forwarder のバリアントでは、複数の Heavy Forwarder または Universal Forwarder がイベントを受信し、Kaspersky CyberTrace サービスにイベントを直接転送します。これらの Forwarder は、(それぞれの種別の)Forwarder App を使用する必要があります。Forwarder の 1 つが Kaspersky CyberTrace サービスから一致データを受信します。Forwarder は一致データを Indexer に送信し、各 Indexer は、Kaspersky CyberTrace App が使用する main インデックスにその一致データを保管します。
既定のポートとアドレス
既定では、Forwarder App と Kaspersky CyberTrace サービスは、イベントの転送と一致データの受信に特定のアドレスとポートを使用するように構成されています。お使いの分散型 Splunk 環境の構成に基づき、これらのアドレスとポートを変更する必要があります。
Forwarder App と Kaspersky CyberTrace サービスが使用する既定のアドレスとポートを変更する必要があります。
既定では、Forwarder App は以下のように動作します:
:3000ポートでイベントを受信します。:9998ポートで Kaspersky CyberTrace からイベントを受信します。これらのイベントはmainインデックスに保管されます。127.0.0.1:9999にイベントを転送します。
既定では、Kaspersky CyberTrace サービスは以下のように動作します:
127.0.0.1:9999でイベントを受信します。- 独自のイベントを
127.0.0.1:9998に送信します。
イベント形式
既定では、Kaspersky CyberTrace App と Kaspersky CyberTrace サービスは特定の形式でイベントを受信するように構成されています:
- Kaspersky CyberTrace サービスは、設定情報ファイルで定義された正規表現を使用してイベントを解析します(正規表現は Kaspersky CyberTrace Web でも表示されます)。これらの正規表現は、特定の形式のインバウンドデータ向けに作成されています。たとえば、URL の既定の正規表現は、プロトコル(HTTP、HTTPS など)を含む URL と一致します。お使いのデバイスで生成するイベントの URL にプロトコルが含まれない場合は、正規表現を適宜変更します。
- Kaspersky CyberTrace App(分散型連携スキームの場合は Search Head App)に付属するルックアップスクリプトは、Kaspersky CyberTrace サービスが使用する正規表現に一致する形式で、イベントを Kaspersky CyberTrace サービスに送信します。