Balancer について

Balancer は、Kaspersky CyberTrace のコンポーネントの 1 つです。Balancer は、サービスとして動作し、Kaspersky CyberTrace を高可用性モードで使用することを可能にします。

高可用性モードが使用されるのは、同じローカルネットワーク内で Kaspersky CyberTrace の複数のインスタンスがデプロイされている場合です。

CyberTrace インスタンスとの HTTPS 接続を確立する場合、Balancer は、参照証明書とのマッチングのために HTTPS 証明書を確認します。

高可用性モードでは、Kaspersky CyberTrace の次の機能がサポートされます：

• フィードと脅威インジケーターに対する受信イベントのマッチング
• Kaspersky CyberTrace REST API

  次の REST API リクエストを使用できます：

  • POST lookup
  • GET suppliers
  • GET suppliers/{supplier}
• CSV へのインジケーターのエクスポート

このタイプのデプロイメントスキームを使用すると、次を実現できます：

1. Kaspersky CyberTrace の各インスタンスに対する負荷の低減
2. 受信イベントの持続可能なマッチング、REST API リクエストの処理、1 つのインスタンスが失敗した場合のインジケーターのエクスポート

Balancer は、マッチングプロセスが実行された Kaspersky CyberTrace のインスタンスに受信イベントと REST API リクエストを送信します。次に Balancer は、ReplyBack モードを使用してマッチングの結果を受信します。

Kaspersky CyberTrace の高可用性モードでの使用

要件と制限

Kaspersky CyberTrace が高可用性モードで適切に動作するよう徹底するために、次の条件が満たされていることを確認してください：

1. すべての Kaspersky CyberTrace インスタンスの設定が同一である必要があります。
2. 手動で追加したコンテキストフィールド、および Kaspersky CyberTrace Web または REST API を使用して追加された FalsePositive および InternalTI 脅威インジケーターが、すべての Kaspersky CyberTrace インスタンスで同一である必要があります。
3. すべての Kaspersky CyberTrace インスタンスが、名前とフィルタリングルールが同一であるインジケーターエクスポートタスクを持つ必要があります。
4. すべての Kaspersky CyberTrace インスタンスと Balancer が、同じライセンス情報ファイルを使用している必要があります。

上記の条件を満たす責任は管理者にあります。満たせない場合、Kaspersky CyberTrace の高可用性モードでの適切な動作は保証されません。

Kaspersky CyberTrace を高可用性モードで使用する場合、次の制限があります：

1. Kaspersky CyberTrace インスタンス間の同期がないため、データベース内のインジケーターがある時点で少し異なる可能性があります。
2. 高可用性モードは、制限された一連の REST API リクエストのみをサポートしています。Balancer は、サポートされているすべてのリクエストタイプを使用するために事前に構成されています（詳細は、「Balancer の構成」セクションの［AllowedRequests］要素を参照）。
3. 特定のインスタンスに関してすべての Kaspersky CyberTrace インスタンスの検知統計を表示することはできません。
4. イベント後、または REST API リクエストが Kaspersky CyberTrace のインスタンスに送信された後にそのインスタンスにアクセスできなくなると、イベントマッチングまたはリクエスト処理の結果が失われます。
5. 情報イベントは SIEM に送信されません。