サポート

法人向けアプリケーション

Kaspersky CyberTrace

インストールおよび連携ガイド

パート 2:Kaspersky CyberTrace とイベントソースの連携

QRadar との連携

標準的な連携(QRadar)

ステップ 9(オプション):Kaspersky CyberTrace App for QRadar のインストール
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

ステップ 9(オプション):Kaspersky CyberTrace App for QRadar のインストール

2024年4月11日

ID 167623

このセクションでは、Kaspersky CyberTrace App for QRadar のインストール方法について説明します。

システム管理者ロールを持つユーザーアカウントのみが Kaspersky CyberTrace App for QRadar を管理できます。

Kaspersky CyberTrace App for QRadar の取得

Kaspersky CyberTrace App for QRadar のインストールパッケージは、テクニカルアカウントマネージャー(TAM)から取得できます。

Kaspersky CyberTrace App for QRadar のインストール

Kaspersky CyberTrace App for QRadar をインストールするには:

  1. QRadar で、[Admin]→[Extensions Management]の順に選択します。
  2. Extensions Management]フォームで[Add]をクリックします。

    QRadar の[Extensions Management]ウィンドウ。

    [Extensions Management]フォーム

  3. アプリケーションファイルのアーカイブを選択します。
  4. Install immediately]をオンにします。
  5. Add]をクリックします。
  6. Install]をクリックします。

    加えられる変更のリストが表示されます。具体的には、追加されるカスタムイベントプロパティが表示されます。

    Kaspersky CyberTrace App for QRadar のインストール。追加されるカスタムイベントプロパティ。

    追加されるカスタムイベントプロパティ

    アプリがインストールされると、以下のカスタムイベントプロパティが追加されます:

    • url
    • feed
    • geo
    • hash
    • files
    • first_seen
    • last_seen
    • mask
    • popularity
    • threat
    • whois
    • URL
    • SHA1 Hash
    • SHA256 Hash
    • MD5 Hash
    • ip
    • records_count

    これらのプロパティは、追加したカスタムイベントプロパティのインデックスを有効化したり、ログソースタイプを指定したりするために使用されます。

    Kaspersky CyberTrace App for QRadar を使用する場合、カスタムイベントプロパティの取得時に QRadar に追加されたフィールドを削除できます。これらのフィールドは、Kaspersky CyberTrace App for QRadar で使用されるフィールドと重複しています。Kaspersky CyberTrace App for QRadar のインストール中に追加されたフィールドを代わりに削除すると、アプリケーションが適切に機能しない可能性があります。

  7. Install]を再度クリックします。

    インストール後、Kaspersky Threat Feed App が[Extensions Management]フォームに表示されます。

  8. アプリを使用する前に、ブラウザーをリフレッシュします。

    Kaspersky CyberTrace App for QRadar がインストールされると、QRadar Console にアプリ名(Kaspersky Data Feeds)がタブとして表示されます。

    QRadar Console。タブ。

    Kaspersky Data Feeds]タブ

  9. QRadar Console で[Kaspersky Data Feeds]タブを選択します。

    Configuration required]フォームが表示されます。

    QRadar の[Configuration required]ウィンドウ。

    Configuration required]フォーム

  10. Configuration required]フォームでは、次の手順を実行します:
    1. QRadar authentication token]フィールドで、QRadar REST API にアクセスするための認証トークンを指定します。

      既存のトークンを指定するか、新しいトークンを作成します

      指定したトークンの有効期限が切れている場合、[Kaspersky Data Feeds]を次に選択した時に、[Configuration required]フォームが再び表示されます。その場合は、新しいトークンを指定する必要があります。

    2. Kaspersky CyberTrace Service connection string]フィールドで、Kaspersky CyberTrace サービスが受信イベントをリッスンする IP アドレスとポートを指定します。

      Kaspersky Threat Feed App が QRadar コンピューターにインストールされていても、IP アドレス 127.0.0.1 を指定することはできません。代わりに、QRadar コンピューターの外部 IP アドレスを指定します。

    3. Kaspersky CyberTrace Service log source name]フィールドで、QRadar に登録されている Kaspersky CyberTrace サービスのログソース名を指定します。

      この名前は、QRadar Console で[Admin]→[Log Sources]の順に選択すると開くウィンドウの[Name]列に表示されています。例:KL_Threat_Feed_Service_v2

      ログソースの指定に関する詳細は、「Kaspersky CyberTrace App for QRadar の構成」セクションを参照してください。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。