標準的な連携スキームについて（QRadar）

このセクションでは、QRadar と Kaspersky CyberTrace の標準的な連携スキームについて説明します。

標準的な連携スキームを適切に機能させるには、アップデート DSM-KasperskyCyberTrace-%version%-20180802144954.noarch.rpm をインストールする必要があります。%version% は QRadar のバージョンです。通常、これらのアップデートは自動更新プロセスの一部として届きますが、IBM Fix Central にアクセスして手動でダウンロードすることもできます。

標準的な連携スキームのコンポーネントについて

以下のコンポーネントが QRadar 向けの標準的な連携スキームで使用されます：

• Kaspersky CyberTrace サービス

  このサービスは QRadar イベントを Kaspersky Threat Data Feeds と照合します。

• QRadar

  この連携で使用される SIEM ソリューション。

• セキュリティコントロール

  QRadar には、ファイアウォール、プロキシ、侵入検知システム、その他のネットワークデバイスなど、様々なイベントのソースがあります。

  セキュリティコントロールは、QRadar がサポートする任意の方法を使用して、イベントを QRadar に送信できます。

標準的な連携スキーム

標準的な連携スキームでは、Kaspersky CyberTrace サービスは QRadar からの受信イベントを 0.0.0.0:9999（すべてのインターフェイス）でリッスンするように既定で構成されています。

Kaspersky CyberTrace サービスは、QRadar 構成で定義されたインターフェイスのポート 514 に検知イベントを送信します。このインターフェイスのアドレスは、Kaspersky CyberTrace のインストール時に指定されます。

セキュリティコントロールは、Syslog、JDBC、OPSEC、ファイル、または SNMP など、QRadar でサポートされているすべての形式でイベントを QRadar に送信できます。

QRadar 向けの標準的な連携スキーム