ステップ 11(オプション):Kaspersky CyberTrace App for QRadar の構成
2024年4月11日
ID 167625
Kaspersky CyberTrace App for QRadar は、QRadar Console で[Settings]を選択することで構成できます。
[Settings]リンク
[Settings]を選択した後に表示されるフォームで設定を指定します。
[Settings]フォーム
以下の設定フィールドを入力できます:
- QRadar authentication token
QRadar RestApi にアクセスするための認証トークン。
既存のトークンを指定するか、新しいトークンを作成します。
- Kaspersky CyberTrace Service connection string
Kaspersky CyberTrace サービスが受信イベントをリッスンする IP アドレスとポート。
Kaspersky CyberTrace と QRadar を同じコンピューターにインストールしている場合、Kaspersky CyberTrace App for QRadar は QRadar に接続できません。iptables のルールでは、Kaspersky CyberTrace App for QRadar が実行されている Docker コンテナと QRadar コンピューターの通信が禁じられているためです。
Kaspersky CyberTrace App for QRadar を QRadar コンピューターで機能させるには、SSH プロトコルを使用して QRadar コンピューターに接続し、以下のコマンドを実行します:
iptables -I INPUT -i <D_interface> -p tcp --destination-port <FS_port> -j ACCEPT
このコマンドでは以下の変数が使用されます:
<D_interface>
—QRadar 向けの Kaspersky CyberTrace App for QRadar を含む Docker コンテナのインターフェイス。<D_interface>
の名前を確認するには、次の手順を実行します:- 次のコマンドを実行して、Kaspersky CyberTrace App for QRadar の識別子を確認します:
psql -U qradar -c "select id, name from installed_application;"
表が表示されます。[
id
]列で Kaspersky CyberTrace App for QRadar(以降、<app_id>
と表記)の識別子の値を確認します。 - 次のコマンドを実行して、Kaspersky CyberTrace App for QRadar が含まれる Docker コンテナの識別子を確認します:
docker ps
出力結果で、
.../qapp/<app_id>:x.x.x
の名前が付いているイメージを見つけ(ここで、x.x.x
はインストールされている Kaspersky Threat Feed App のバージョンです)、そのCONTAINER ID
の値(以降、<container_id>
と表記)を確認します。 - 次のコマンドを実行して、Kaspersky CyberTrace App for QRadar が含まれる Docker イメージのインターフェイス名を確認します:
docker inspect <container_id> | grep NetworkMode
出力結果が
"NetworkMode": "<D_interface>"
の形式で表示されます。上記のコマンドの<D_interface>
をこの結果に置き換えます。
- 次のコマンドを実行して、Kaspersky CyberTrace App for QRadar の識別子を確認します:
<FS_port>
—Kaspersky CyberTrace サービスが受信イベントをリッスンするポート。
上記のコマンドを実行すると、iptables が再起動されるまで、または QRadar コンピューターが再起動されるまでの間のみ、追加されたルールが iptables に存在します。このルールを永久に追加するには、ルールをファイル
/etc/sysconfig/iptables
(環境の構成によって異なる iptables ファイルへのパス)に追加します。Kaspersky CyberTrace App for QRadar が QRadar コンピューターにインストールされていても、IP アドレス
127.0.0.1
を指定できないことにも留意してください。代わりに、QRadar コンピューターの外部 IP アドレスを指定します。 - Kaspersky CyberTrace Service log source name
QRadar に登録されている Kaspersky CyberTrace サービスのログソース名。この名前は、QRadar Console で[Admin]→[Log Sources]の順に選択すると開くウィンドウの[Name]列に表示されています。
最初の Kaspersky CyberTrace サービスイベント一式を QRadar に送信した時に、Kaspersky CyberTrace サービスログソースが自動的に追加された場合、ログソース名は
Kaspersky Threat Feed Service @ [id]
です。ここで、[id]
は Kaspersky CyberTrace サービスイベントの識別子です(既定では、[id]
はKL_Threat_Feed_Service_v2
です)。最新の QRadar アップデートがなかったために、Kaspersky CyberTrace サービスをログソースとして手動で QRadar に追加しなければならなかった場合は、ログソース名は[id]
です。つまり、既定ではKL_Threat_Feed_Service_v2
です。ログソース名を変更した後や、Kaspersky CyberTrace App for QRadar をインストールした後は、リクエストしたデータが表示されるまで少し時間がかかります。データがロードされている間、プログレスバーが表示されます。すべてのデータを取得するために要する時間は、選択したデータ表示期間によって異なります。
Kaspersky CyberTrace App for QRadar を構成したら、[Run self-test]をクリックして検証テストを実行できます。
セルフテスト結果
任意のフィードのテスト結果が[Failed
]の場合、テストしたオブジェクトが誤ったカテゴリに割り当てられていることを意味します。このエラーは、設定情報ファイルの誤りなどに起因する可能性があります。