Kaspersky CyberTrace サービスおよびフィードユーティリティの個別のインストール(Linux)
2024年2月27日
ID 171559
Kaspersky CyberTrace サービスとフィードユーティリティを個別のコンピューターにインストールすることができます。そうすることで、イベントデータをフィードと照合するコンピューターをインターネットから分離できます。
Kaspersky CyberTrace サービスとフィードユーティリティを個別のコンピューターで使用する予定がなくても、ディレクトリ dmz を Kaspersky CyberTrace の配布キットから削除しないでください。
フィードユーティリティを Windows コンピューターにインストールすることができます。その場合は、Windows 用の配布パッケージが必要です。そのパッケージにもインストール手順が含まれています。
DMZ で Kaspersky CyberTrace サービスとフィードユーティリティが機能する仕組み
次の図に、Kaspersky CyberTrace サービスとフィードユーティリティが DMZ で機能する仕組みを示します。
Kaspersky CyberTrace サービスとフィードユーティリティを個別のコンピューターにインストールした場合のワークフロー
隔離された環境で操作する場合の CyberTrace の制限
CyberTrace は、直接のインターネットアクセスなしでホスト上で実行されるので、次の CyberTrace 操作の制限が適用されます:
- CyberTrace ローカルホスト上でサードパーティからの図表改良ができない。
- フィードの追加で、CyberTrace 設定をローカルホストから DMZ ホストに転送したり、変更したり、ローカルホストに送り返すことができません。詳細は、「Kaspersky CyberTrace サービスとフィードユーティリティを別のコンピューターにインストールした後にフィード設定を変更する」セクションを参照してください。
個別のコンピューター上での Kaspersky CyberTrace サービスとフィードユーティリティのインストール
次の手順では、Kaspersky CyberTrace サービスを 1 台のコンピューター(このセクションでは以降「ローカル」と表記)に、フィードユーティリティを他のコンピューター(このセクションでは以降「DMZ」と表記)にインストールするために、DMZ とローカルホストを設定する方法について説明します。
DMZ ホストの設定
DMZ ホストを設定する場合は、次の操作を実行します。
- 隔離された環境で CyberTrace にロードされる予定のフィードを簡単に設定するために、DMZ に CyberTrace をインストールします。
- [初期セットアップウィザード初期セットアップウィザード]で、必要な SIEM 設定(名前、接続、詳細)を指定します。
これらの設定は、ローカルホストで使用されます。
また、使用する予定のカスペルスキーのフィードを設定するために、PEM 形式の証明書を追加します。Community Edition では、すべてのサポートされているフィードタイプを設定できるので、Kaspersky CyberTrace ライセンスを DMZ ホストに追加する必要はありません。ローカルホストには、ライセンスを追加する必要があります。
- [初期セットアップウィザード]で設定を指定した後に、必要に応じて[Settings]→[Feeds]ページでフィードを追加するか、設定を加えます。
CyberTrace でフィードの更新を 1 回以上実行し、フィードの設定が正しいことを確認します。
- [Settings]→[Service]ページで[Export configuration files]をクリックして、CyberTrace から設定をエクスポートします。
カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、後で使用できるように
httpsrv/etc/custom_feed_list.confファイルも保存します。 - ディレクトリ
%service_dir%\dmzをディレクトリ%service_dir%以外の場所(ディレクトリ/optまたは/usr/local/etcなど)にコピーします。以降、このディレクトリのパスを
%dmz_fu%と表記します。 - CyberTrace を削除します。
新しいフィードを追加する必要がある場合は、CyberTrace を DMZ ホストに再度インストールします。
- エクスポートされたファイル
kl_feed_util.conf(ステップ 4 を参照)から%dmz_fu%/kl_feed_util.confに [Settings]→[Feeds]および[Settings]→[ProxySettings]セクションを移動します(セクションがターゲットの設定情報ファイルにある場合は、このセクションを置き換えます)。CyberTrace からエクスポートされたファイル
kl_feed_util.confとkl_feed_service.confのインスタンスを削除しないでください。これらのファイルは、ローカルホストで使用されます。 - ファイル
%dmz_fu%/kl_feed_util.confの [Settings]→[EULA]タグで[accepted]を指定します。 - ファイル
%dmz_fu%/kl_feed_util.confの [Settings/WorkDir]で<WorkDir>tmp_download</WorkDir>を指定します。 - クローンタスクのリストに
%dmz_fu%/cron_dmz.shを追加します。cron_dmz.shスクリプトは、DMZ ホストでフィードのダウンロードを有効にします。たとえば、cron の設定情報ファイルで次の行を指定します:
*/30 * * * * %dmz_fu%/cron_dmz.sh上の例では、
cron_dmz.shスクリプトは 30 分に 1 回実行されます。スクリプトを実行するように、ユーザー独自のスケジュールを設定できます。cron ユーザーが
%dmz_fu%/cron_dmz.shファイルを実行するアクセス権を持っていることを確認してください。
ローカルホストの設定
ローカルホストを設定するには、次の操作を実行します:
- RSync ユーティリティを使用して、DMZ ホストがローカルホストからアクセスできるかどうかを確認します(このためには、「フィードが格納されたディレクトリの同期」セクションのステップを実行します)。
- ローカルホストで、前に DMZ にインストールした CyberTrace と同じバージョンの CyberTrace をインストールします。
- インストール後に
systemctl stop cybertrace.serviceコマンドを実行して CyberTrace を停止します。 %service_dir%/bin/.need_run_wizardファイルを削除します。この動作により、設定が DMZ ホストで以前に完了しているので、最初の設定ウィザードが無効になります。
- ファイル
%service_dir%/etc/kl_feed_util.confおよび%service_dir%/etc/kl_feed_service.confを「DMZ ホストの設定」セクションのステップ 4 で取得したファイルと置き換えます。カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、
httpsrv/etc/custom_feed_list.confファイルの置換または追加(ファイルが存在しなかった場合)を行います。 %service_dir%/etc/kl_feed_util.confファイルを開き、次のパラメータを指定します:<NotifyKTFS path="../bin">true</NotifyKTFS><WorkDir>output</WorkDir><FeedsDir>../feeds/download</FeedsDir>
- ファイル
%service_dir%/etc/kl_feed_service.confで次の内容を設定します:- 以下で設定を指定します:
- [
Configuration]→[InputSettings]→[ConnectionString] - [
Configuration]→[GUISettings]→[HTTPServer]→「ConnectionString] - [
Configuration]→[GUISettings]→[HTTPServer]→「ResourcesIP]
- [
update_frequency属性を0 に設定します。DMZ ホストにロードされているフィードファイルは CyberTrace ではなく CRON によって定期的に同期されるので、このカスタマイズが適用されます。
- 以下で設定を指定します:
- (推奨)[
Launch update now]をクリックした時にフィードが誤って更新されることを防ぐため、ファイル%service_dir%/dmz/feeds.pemを feeds.pem.0 と変名してください。 - ファイル
%service_dir%/scripts/cron_cybertrace.shを開き、次の内容を指定します:RSYNC_USER(認証用の DMZ ホストのユーザー名)RSYNC_HOST(DMZ ホストのホスト名/IP アドレス)PATH_TO_FEEDS(DMZ ホストのディレクトリ%dmz_fu%/downloadのパス)DOWNLOAD_DIR(「output」)SSH_KEY(「フィードが格納されたディレクトリの同期」セクションのステップ 1 で説明した RSA キーファイルパスと同じパスを指定してください)
- クローンタスクのリストに
%service_dir%/scripts/cron_cybertrace.shを追加します。cron_cybertrace.shスクリプトは、DMZ ホストのフィードファイルの同期を開始します。以下の例は、30 分間に 1 回起動し、DMZ ホストのcron_dmz.shスクリプトと比較して 5 分遅れて開始するcron_cybertrace.shファイルを示しています:5-59/30 * * * * /opt/kaspersky/ktfs/scripts/cron_cybertrace.shスクリプトを実行するように、ユーザー独自のスケジュールを設定できます。
cron ユーザーが
%service_dir%/scripts/cron_cybertrace.shファイルを実行するアクセス権を持っていることを確認してください。 - CyberTrace を開始します。
systemctl start cybertrace.serviceコマンドを実行します。 - ブラウザーで CyberTrace Web を開きます([
Configuration]→[GUISettings]→[HTTPServer]→[ConnectionString]のステップ 7 の詳細な説明を参照)。 - [Settings]→「Feeds]ページのフィードの設定が DMZ ホストの設定と同様であることを確認します。
- [Settings]→[Feeds]ページで、[
Update frequency]パラメータを[Never]に設定します。 - [Settings]→[Licensing]ページでライセンスを追加します。
- フィードの更新に関係ない他の設定を設定します。
Kaspersky CyberTrace サービスとフィードユーティリティを別のコンピューターにインストールした後にフィード設定を変更する
DMZ ホストは、フィードのダウンロードを行うためだけのものなので、ローカルホストの CyberTrace で以前に有効にした以下の設定を設定できます。次のフィードパラメータを変更できます:
- フィードの
confidence値(カスペルスキーのフィードを除く) - 処理するフィードエントリの数の制限
- 保持期間(カスペルスキーのフィードを除く)
- フィードで使用可能なフィールド
- フィルタリングルール
- 入力可能フィールド
以前に有効にしたフィードも無効にできます(この場合、%dmz_fu%/kl_feed_util.conf で無効にしない限り、無効にした フィードは引き続き DMZ ホストにダウンロードされ、ローカルホストに転送されます)。
DMZ ホストのファイル %dmz_fu%/kl_feed_util.conf でプロキシサーバー設定を直接設定できます。
必要に応じて、以下の説明に従って新しいフィードを追加できます。
ローカルホストで以前に無効にしたフィードがある場合は、以下の操作により、DMZ ホストでのこのフィードのダウンロードが停止します。
新しいフィードを追加するには、次の操作を実行します:
- ローカルホストで:
- [Settings]→[Service ]ページの[Export configuration files]をクリックして、CyberTrace から現在の設定をエクスポートします。
カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、後で使用できるように
httpsrv/etc/custom_feed_list.confファイルも保存します。 - CyberTrace インスタンスサービスを停止します。
systemctl stop cybertrace.serviceコマンドを実行します。
- [Settings]→[Service ]ページの[Export configuration files]をクリックして、CyberTrace から現在の設定をエクスポートします。
- DMZ ホストで:
- ローカルホストと同じバージョンの CyberTrace をインストールします。
最初のセットアップで DMZ ホスト上の CyberTrace を削除していない場合、このステップはスキップしてください。
- CyberTrace インスタンスサービスを停止します。
systemctl stop cybertrace.serviceコマンドを実行します。 %service_dir%/bin/.need_run_wizardファイルを削除します。最初のセットアップで DMZ ホスト上の CyberTrace を削除していない場合、このステップはスキップしてください。
- ファイル
%service_dir%/etc/kl_feed_service.confおよび%service_dir%/etc/kl_feed_util.confを上のステップ 1 でエクスポートしたファイルに置き換えます。カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、
httpsrv/etc/custom_feed_list.confファイルの置換または追加(ファイルが存在しなかった場合)も行います。[
Configuration]→[GUISettings]→[HTTPServer]→[ConnectionString]の順に適切に指定して、ブラウザーで CyberTrace Web を開きます。 - CyberTrace サービスを開始します。
systemctl start cybertrace.serviceコマンドを実行します。 - ファイル
%service_dir%\bin\kl_feed_service.confのConfiguration/GUISettings/HTTPServer/ConnectionStringで指定したアドレスで CyberTrace Web を使用して新しいフィードを追加して設定します。CyberTrace で 1 回以上フィードの更新を実行して、フィードが正しく設定されていることを確認します。
- [Settings]→[Service]ページの[Export configuration files]をクリックして、CyberTrace から更新された設定をエクスポートします。
カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、後で使用できるように
httpsrv/etc/custom_feed_list.confファイルも保存します。 - CyberTrace を削除します。
- エクスポートされたファイル
kl_feed_util.confからファイル%dmz_fu%/kl_feed_util.confに[Settings]→[Feeds]および[Settings]→[ProxySettings]セクションを移動(置換)します。CyberTrace からエクスポートされたファイル
kl_feed_util.confとkl_feed_service.confのインスタンスを削除しないでください。これらのファイルは、ローカルホストでも使用されます。
- ローカルホストと同じバージョンの CyberTrace をインストールします。
- ローカルホストで:
- ファイル
%service_dir%/etc/kl_feed_service.confおよび%service_dir%/etc/kl_feed_util.confを DMZ ホストからエクスポートしたファイルに置き換えます。カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、
httpsrv/etc/custom_feed_list.confファイルの置換または追加(ファイルが存在しなかった場合)も行います。[
Configuration]→[GUISettings]→[HTTPServer]→[ConnectionString]の順に適切に指定して、ブラウザーで CyberTrace Web を開きます。 - CyberTrace サービスを開始します。
systemctl start cybertrace.serviceコマンドを実行します。 - [
Configuration]→[GUISettings]→[HTTPServer]→[ConnectionString]を使用して、CyberTrace Web を開き、[Settings]→[Feeds]ページに新しいフィードと DMZ ホストの設定とほぼ同じ設定があることを確認します。また、すべてのフィードが正しく設定されていることを確認します。 - [Settings]→[Feeds]ページで、[
Update frequency]パラメータを[Never]に設定します。
- ファイル
フィードが格納されたディレクトリの同期
ローカルと DMZ ホストの両方でフィードを同期するには、RSync ユーティリティを使用します。
DMZ ホストが Windows コンピューターである場合は、Cygwin を使用して RSync ユーティリティを実行できます。Cygwin のインストール方法は、「Kaspersky CyberTrace サービスとフィードユーティリティの個別のインストール(Windows)」を参照してください。
DMZ ホストで同期を設定するには:
- DMZ ホスト上で OpenSSH コンポーネントを次のように構成します:
- 次のコマンドを root として実行します:
ssh-host-config毎回[
Yes]を選択します。重要なポイントは、sshd デーモンをサービスとして実行することです。 - 次のコマンドを実行します:
net start sshd
- 次のコマンドを root として実行します:
sshd デーモンが自動的に起動します。
ローカルホストで同期を設定するには:
- 秘密鍵、および対応する公開鍵を作成します。
それには、ローカルホスト上で次のコマンドを実行します:
ssh-keygen -t rsa -q -N '' -f /home/<user>/.ssh/dmz_rsa_key<user>の代わりにユーザーログインを指定します。キーはパスワードなしで作成されます。 - 次のコマンドを実行して、公開鍵をローカルホストから DMZ ホストにコピーします:
ssh-copy-id -i /home/<user>/.ssh/dmz_rsa_key <DMZ_user>@<DMZ_host>このコマンドを実行すると、
<DMZ_user>@<DMZ_host>へのパスワードを要求されます。 - ローカルホスト上で次のコマンドを実行して、フィードが格納されたディレクトリの内容の同期をテストします:
rsync -a --delete-before --delay-updates -e "ssh -i /home/<user>/.ssh/dmz_rsa_key" <DMZ_user>@<DMZ_host>:/<Path_to_feeds>/ /<Path_to_feeds_on_Local>/このコマンドの
<Path_to_feeds_on_Local>はローカルホスト上の、フィードが格納されたディレクトリへのパス(つまり、%service_dir%/feeds)で、<Path_to_feeds>は DMZ ホスト上の、更新済みフィードが格納されたディレクトリへのパスです。同期テストに合格するには、ローカルホスト上のディレクトリ
<Path_to_feeds_on_Local>の内容が、DMZ ホスト上のディレクトリ<Path_to_feeds>の内容と同じである必要があります。
CyberTrace の前のバージョンからのアップグレード
CyberTrace とフィードユーティリティを新しいバージョンにアップグレードするには、次の操作を実行します:
- ローカルホストで、「Linux 上での自動アップグレード」セクションの説明に従い、 CyberTrace をアップグレードします。
- ローカルホストのディレクトリ
%service_dir%/dmzから、ファイルkl_feed_utilを DMZ ホストの%%dmz_fu%に移動します。