Kaspersky CyberTrace インスタンスの構成
2024年4月11日
ID 215368
このセクションでは、Kaspersky CyberTrace のインスタンスを高可用性モードで使用するために構成する方法について説明します。
Kaspersky CyberTrace を高可用性モードで使用するには、Kaspersky CyberTrace のすべてのインスタンスを次のように構成します:
- Kaspersky Threat Data Feeds の同じ証明書をインポートします。
- 同じ Kaspersky Threat Data Feeds を有効にします。
- 必要に応じて、同じ OSINT feeds を有効にし、同一のカスタムおよびサードパーティのフィードを追加および構成します。
手動で追加したコンテキストフィールド、および Kaspersky CyberTrace Web または REST API を使用して追加された FalsePositive インジケーターおよび InternalTI 脅威インジケーターが、すべての Kaspersky CyberTrace インスタンスで同一である必要があります。
- 同じライセンスを追加するか、すべてのインスタンスで Community Edition を使用します。
- 同一の名前とフィルタリングルールを使用してインジケーターエクスポートタスクを追加します。
- 次のように Balancer からの受信イベントをマッチングするために同一の正規表現を指定します。
Balancer からの受信イベントをマッチングするための正規表現
インジケータータイプ
ルール名
Regular expression
CONTEXT
REQ
^(\d+)\s
正規表現には許可されている任意の名前を使用できますが、次の構成ステップでは同じ正規表現名を使用するよう徹底してください。
既定のイベントソースで正規表現を指定することも、新しい正規表現を作成することもできます。
- 検知イベントと情報イベントに対して同一のイベント形式設定を指定します。
各イベントは、
REQ
正規表現によって受信イベントから抽出された値から始まる必要があります。たとえば、%REQ% category=%Category% %RecordContext%
のようにします。 - 受信した各イベントに応じて Kaspersky CyberTrace によって生成されるイベントの形式を構成します。
- 次のコマンドを実行して、Kaspersky CyberTrace サービスを停止します:
systemctl stop cybertrace.service
(Linux の場合)sc stop cybertrace
(Windows の場合)
Kaspersky CyberTrace サービス設定情報ファイルの
[OutputSettings]→[FinishedEventFormat]要素内で、次のように情報イベントの形式を指定します:<FinishedEventFormat enabled="true">%REQ% LookupFinished</FinishedEventFormat>
これらのイベントは内部使用専用です。これらは SIEM に送信されません。
- 設定情報ファイルを保存します。
- Kaspersky CyberTrace サービスを起動します:
systemctl start cybertrace.service
(Linux の場合)sc start cybertrace
(Windows の場合)
- 次のコマンドを実行して、Kaspersky CyberTrace サービスを停止します:
必要に応じて、[Settings]→[Service]タブの[Connection settings]セクションで、Balancer にアラートイベントを送信するための接続設定を指定します。ファイル kl_balancer.conf
内の次のパラメータを使用します:
- [
Balancer
]要素に指定されている IP アドレス - [
Balancer
]要素のcybertrace_port
パラメータに指定されているポート
アラートイベントは SIEM に直接送信できます。
検知イベントを送信するための設定は、高可用性モードでは使用されません。Balancer はイベントマッチングの結果を ReplyBack モードで受信するためです。