ステップ 9(オプション):Kaspersky CyberTrace App for QRadar のインストール
2024年4月11日
ID 167623
このセクションでは、Kaspersky CyberTrace App for QRadar のインストール方法について説明します。
システム管理者ロールを持つユーザーアカウントのみが Kaspersky CyberTrace App for QRadar を管理できます。
Kaspersky CyberTrace App for QRadar の取得
Kaspersky CyberTrace App for QRadar のインストールパッケージは、テクニカルアカウントマネージャー(TAM)から取得できます。
Kaspersky CyberTrace App for QRadar のインストール
Kaspersky CyberTrace App for QRadar をインストールするには:
- QRadar で、[Admin]→[Extensions Management]の順に選択します。
- [Extensions Management]フォームで[Add]をクリックします。
[Extensions Management]フォーム
- アプリケーションファイルのアーカイブを選択します。
- [Install immediately]をオンにします。
- [Add]をクリックします。
- [Install]をクリックします。
加えられる変更のリストが表示されます。具体的には、追加されるカスタムイベントプロパティが表示されます。
追加されるカスタムイベントプロパティ
アプリがインストールされると、以下のカスタムイベントプロパティが追加されます:
url
feed
geo
hash
files
first_seen
last_seen
mask
popularity
threat
whois
URL
SHA1 Hash
SHA256 Hash
MD5 Hash
ip
records_count
これらのプロパティは、追加したカスタムイベントプロパティのインデックスを有効化したり、ログソースタイプを指定したりするために使用されます。
Kaspersky CyberTrace App for QRadar を使用する場合、カスタムイベントプロパティの取得時に QRadar に追加されたフィールドを削除できます。これらのフィールドは、Kaspersky CyberTrace App for QRadar で使用されるフィールドと重複しています。Kaspersky CyberTrace App for QRadar のインストール中に追加されたフィールドを代わりに削除すると、アプリケーションが適切に機能しない可能性があります。
- [Install]を再度クリックします。
インストール後、Kaspersky Threat Feed App が[Extensions Management]フォームに表示されます。
- アプリを使用する前に、ブラウザーをリフレッシュします。
Kaspersky CyberTrace App for QRadar がインストールされると、QRadar Console にアプリ名(Kaspersky Data Feeds)がタブとして表示されます。
[Kaspersky Data Feeds]タブ
- QRadar Console で[Kaspersky Data Feeds]タブを選択します。
[Configuration required]フォームが表示されます。
[Configuration required]フォーム
- [Configuration required]フォームでは、次の手順を実行します:
- [QRadar authentication token]フィールドで、QRadar REST API にアクセスするための認証トークンを指定します。
既存のトークンを指定するか、新しいトークンを作成します。
指定したトークンの有効期限が切れている場合、[Kaspersky Data Feeds]を次に選択した時に、[Configuration required]フォームが再び表示されます。その場合は、新しいトークンを指定する必要があります。
- [Kaspersky CyberTrace Service connection string]フィールドで、Kaspersky CyberTrace サービスが受信イベントをリッスンする IP アドレスとポートを指定します。
Kaspersky Threat Feed App が QRadar コンピューターにインストールされていても、IP アドレス
127.0.0.1
を指定することはできません。代わりに、QRadar コンピューターの外部 IP アドレスを指定します。 - [Kaspersky CyberTrace Service log source name]フィールドで、QRadar に登録されている Kaspersky CyberTrace サービスのログソース名を指定します。
この名前は、QRadar Console で[Admin]→[Log Sources]の順に選択すると開くウィンドウの[Name]列に表示されています。例:
KL_Threat_Feed_Service_v2
。ログソースの指定に関する詳細は、「Kaspersky CyberTrace App for QRadar の構成」セクションを参照してください。
- [QRadar authentication token]フィールドで、QRadar REST API にアクセスするための認証トークンを指定します。