Kaspersky CyberTrace サービスとフィードユーティリティの個別のインストール(Windows)
2024年2月27日
ID 171560
Kaspersky CyberTrace サービスとフィードユーティリティを個別のコンピューターにインストールすることができます。そうすることで、イベントデータをフィードと照合するコンピューターをインターネットから分離できます。
Kaspersky CyberTrace サービスとフィードユーティリティを個別のコンピューターで使用する予定がなくても、ディレクトリ dmz
を Kaspersky CyberTrace の配布キットから削除しないでください。
フィードユーティリティを Linux コンピューターにインストールすることができます。その場合は、Linux 用の配布パッケージが必要です。そのパッケージにもインストール手順が含まれています。
DMZ で Kaspersky CyberTrace サービスとフィードユーティリティが機能する仕組み
次の図に、Kaspersky CyberTrace サービスとフィードユーティリティが DMZ で機能する仕組みを示します。
Kaspersky CyberTrace サービスとフィードユーティリティを個別のコンピューターにインストールした場合のワークフロー
隔離された環境で操作する場合の CyberTrace の制限
CyberTrace は、直接のインターネットアクセスなしでホスト上で実行されるので、次の CyberTrace 操作の制限が適用されます:
- CyberTrace ローカルホスト上でサードパーティからの図表改良が行われない。
- フィードの追加で、CyberTrace 設定をローカルホストから DMZ ホストに転送したり、変更したり、ローカルホストに送り返すことがない。詳細は、「Kaspersky CyberTrace サービスとフィードユーティリティを別のコンピューターにインストールした後にフィード設定を変更する」セクションを参照してください。
個別のコンピューター上での Kaspersky CyberTrace サービスとフィードユーティリティのインストール
次の手順では、Kaspersky CyberTrace サービスを 1 台のコンピューター(このセクションでは以降「ローカル」と表記)に、フィードユーティリティを他のコンピューター(このセクションでは以降「DMZ」と表記)にインストールするために、DMZ とローカルホストを設定する方法について説明します。
DMZ ホストの設定
DMZ ホストを設定する場合は、次の操作を実行します。
- 隔離された環境で CyberTrace にロードされる予定のフィードを簡単に設定するために、DMZ に CyberTrace をインストールします。
- [初期セットアップウィザード初期セットアップウィザード]で、必要な SIEM 設定(名前、接続、詳細)を指定します。
これらの設定は、後でローカルホストで使用されます。
また、使用する予定のカスペルスキーのフィードを設定するために、PEM 形式の証明書を追加します。Community Edition では、すべてのサポートされているフィードタイプを設定できるので、Kaspersky CyberTrace ライセンスを DMZ ホストに追加する必要はありません。ローカルホストには、ライセンスを追加する必要があります。
- [初期セットアップウィザード]で設定を指定した後に、必要に応じて[Settings]→[Feeds]ページでフィードを追加するか、設定を加えます。
CyberTrace でフィードの更新を 1 回以上実行し、フィードの設定が正しいことを確認します。
- [Settings]→[Service]ページで[Export configuration files]をクリックして、CyberTrace から設定をエクスポートします。
カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、後で使用できるように
httpsrv\etc\custom_feed_list.conf
ファイルも保存します。 - ディレクトリ
%service_dir%\dmz
をディレクトリ%service_dir%
以外の場所(ディレクトリC:\Users\%UserName%
など)にコピーします。以降、このディレクトリのパスを
%dmz_fu%
と表記します。 - CyberTrace を削除します。
新しいフィードを追加する必要がある場合は、CyberTrace を DMZ ホストに再度インストールします。
- エクスポートされたファイル
kl_feed_util.conf
(ステップ 4 を参照)から%dmz_fu%/kl_feed_util.conf
に [Settings
]→[Feeds
]および[Settings
]→[ProxySettings
]セクションを移動します(セクションがターゲットの設定情報ファイルにある場合は、このセクションを置き換えます)。CyberTrace からエクスポートされたファイル
kl_feed_util.conf
とkl_feed_service.conf
のインスタンスを削除しないでください。これらのファイルは、ローカルホストで使用されます。 - ファイル
%dmz_fu%\kl_feed_util.conf
の [Settings
]→[EULA
]タグで[accepted
]を指定します。 - ファイル
%dmz_fu%\kl_feed_util.conf
の [Settings/WorkDir
]で<WorkDir>tmp_download</WorkDir>
を指定します。 %dmz_fu%\cron_dmz.cmd
をタスクの schtasks リストに追加します。cron_dmz.cmd
スクリプトは、DMZ ホストでフィードのダウンロードを有効にします。以下の例では、
cron_dmz.cmd
スクリプトは 30 分に 1 回実行されます:schtasks /create /tn KasperskyFeedServiceUpdate /ru system /f /tr "\"%dmz_fu%\cron_dmz.cmd\"" /sc minute /mo 30
スクリプトを実行するように、ユーザー独自のスケジュールを設定できます。
ローカルホストの設定
ローカルホストを設定するには、次の操作を実行します:
- RSync ユーティリティを使用して、DMZ ホストがローカルホストからアクセスできるかどうかを確認します(このためには、「フィードが格納されたディレクトリの同期」セクションのステップを実行します)。
- ローカルホストで、前に DMZ ホストにインストールした CyberTrace と同じバージョンの CyberTrace をインストールします。
- インストール後に
sc stop cybertrace
コマンドを実行して CyberTrace を停止します。 %service_dir%\bin\.need_run_wizard
ファイルを削除します。この動作により、設定が DMZ ホストで既に完了しているので、最初の設定ウィザードが無効になります。
- ファイル
%service_dir%\bin\kl_feed_util.conf
および%service_dir%\bin\kl_feed_service.conf
を「DMZ ホストの設定」セクションのステップ 4 で取得したファイルと置き換えます。カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、
httpsrv\etc\custom_feed_list.conf
ファイルの置換または追加(ファイルが存在しなかった場合)も行います。 - ファイル
%service_dir%\bin\kl_feed_util.conf
を開き、次のパラメータを指定します:<NotifyKTFS path="../bin">true</NotifyKTFS>
<WorkDir>output</WorkDir>
<FeedsDir>../feeds/download</FeedsDir>
- ファイル
%service_dir%\bin\kl_feed_service.conf
で次の内容を設定します:- 以下で設定を指定します:
- [
Configuration
]→[InputSettings
]→[ConnectionString
] - [
Configuration
]→[GUISettings
]→[HTTPServer
]→「ConnectionString
] - [
Configuration
]→[GUISettings
]→[HTTPServer
]→「ResourcesIP
]
- [
update_frequency
属性を0 に設定
します。DMZ ホストにロードされるフィードファイルは CyberTrace ではなく Schtasks によって定期的に同期されるので、このカスタマイズを適用します。
- 以下で設定を指定します:
- (推奨)[
Launch update now
]をクリックした時にフィードが誤って更新されることを防ぐため、ファイル%service_dir%\dmz\feeds.pem
を feeds.pem.0 と変名してください。 - ファイル
%service_dir%\scripts\cron_cybertrace.cmd
を開いてから、次の内容を指定します:RSYNC_USER
(認証用の DMZ ホストのユーザー名)RSYNC_HOST
(DMZ ホストのホスト名/IP アドレス)PATH_TO_FEEDS
(DMZ ホストのディレクトリ%dmz_fu%\download
のパス)DOWNLOAD_DIR
(「output」)SSH_KEY
(「フィードが格納されたディレクトリの同期」セクションのステップ 1 で説明した RSA キーファイルパスと同じパスを指定してください)
- cron タスクのリストに
%service_dir%\scripts\cron_cybertrace.cmd
を追加します。cron_cybertrace.cmd
スクリプトは、DMZ ホストのフィードファイルの同期を開始します。以下の例は、cron_dmz.cmd ファイルが 30 分間に 1 回起動されることを示しています。schtasks /create /tn KasperskyFeedServiceUpdate /ru %user% /rp %password% /f /tr "%service_dir%\scripts\cron_cybertrace.cmd" /sc minute /mo 30
ユーザー独自の同期スケジュールを設定できます。
- CyberTrace を開始します。
sc start cybertrace
コマンドを実行します。 - ブラウザーで CyberTrace Web を開きます([
Configuration
]→[GUISettings
]→[HTTPServer
]→[ConnectionString
]のステップ 7 の詳細な説明を使用)。 - [Settings]→「Feeds]ページのフィードの設定が DMZ ホストの設定と同様であることを確認します。
- [Settings]→[Feeds]ページで、[
Update frequency
]パラメータを[Never
]に設定します。 - [Settings]→[Licensing]ページでライセンスを追加します。
- フィードの更新に関係ない他の設定を設定します。
Kaspersky CyberTrace サービスとフィードユーティリティを別のコンピューターにインストールした後にフィード設定を変更する
DMZ ホストは、フィードのダウンロードを行うためだけのものなので、ローカルホストの CyberTrace で以前に有効にしたフィードの以下の設定を設定できます。次のフィードパラメータを変更できます:
- フィードの
confidence
値(カスペルスキーのフィードを除く) - 処理するフィードエントリの数の制限
- 保持期間(カスペルスキーのフィードを除く)
- フィードで使用可能なフィールド
- フィルタリングルール
- 入力可能フィールド
以前に有効にしたフィードも無効にできます(この場合、%dmz_fu%/kl_feed_util.conf
で無効にしない限り、無効にした フィードは引き続き DMZ ホストにダウンロードされ、ローカルホストに転送されます)。
DMZ ホストのファイル %dmz_fu%/kl_feed_util.conf
でプロキシサーバー設定を直接設定できます。
必要に応じて、以下の説明に従って新しいフィードを追加できます。
ローカルホストで以前に無効にしたフィードがある場合は、以下の操作を実行すると、DMZ ホストでのこのフィードのダウンロードが停止します。
新しいフィードを追加するには、次の操作を実行します:
- ローカルホストで:
- [Settings]→[Service]ページの[Export configuration files]をクリックして、CyberTrace から現在の設定をエクスポートします。
カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、後で使用できるように
httpsrv\etc\custom_feed_list.conf
ファイルも保存します。 - CyberTrace インスタンスサービスを停止します。
sc stop cybertrace
コマンドを実行します。
- [Settings]→[Service]ページの[Export configuration files]をクリックして、CyberTrace から現在の設定をエクスポートします。
- DMZ ホストで:
- ローカルホストと同じバージョンの CyberTrace をインストールします。
最初のセットアップで DMZ ホスト上の CyberTrace を削除していない場合、このステップはスキップしてください。
- CyberTrace インスタンスサービスを停止します。
sc stop cybertrace
コマンドを実行します。 %service_dir%/bin/.need_run_wizard
ファイルを削除します。最初のセットアップで DMZ ホスト上の CyberTrace を削除していない場合、このステップはスキップしてください。
- ファイル
%service_dir%\bin\kl_feed_service.conf
および%service_dir%\bin\kl_feed_util.conf
を上のステップ 1 でローカルポートからエクスポートしたファイルに置き換えます。カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、
httpsrv\etc\custom_feed_list.conf
ファイルの置換または追加(ファイルが存在しなかった場合)も行います。[
Configuration
]→[GUISettings
]→[HTTPServer
]→[ConnectionString
]の順に適切に指定して、ブラウザーで CyberTrace Web を開きます。 - CyberTrace サービスを開始します。
sc start cybertrace
コマンドを実行します。 - ファイル
%service_dir%\bin\kl_feed_service.conf
のConfiguration/GUISettings/HTTPServer/ConnectionString
で指定したアドレスで CyberTrace Web を使用して新しいフィードを追加および設定します。CyberTrace でフィードの更新を 1 回以上実行し、フィードの設定が正しいことを確認します。
- [Settings]→[Service]ページの[Export configuration files]をクリックして、CyberTrace から更新された設定をエクスポートします。
カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、後で使用できるように
httpsrv\etc\custom_feed_list.conf
ファイルも保存します。 - CyberTrace を削除します。
- エクスポートされたファイル
kl_feed_util.conf
からファイル%dmz_fu%\kl_feed_util.conf
に[Settings]→[Feeds]
および[Settings]→[ProxySettings]
セクションを移動(置換)します。
CyberTrace からエクスポートされたファイル
kl_feed_util.conf
とkl_feed_service.conf
を削除しないでください。これらのファイルは、ローカルホストで使用されます。 - ローカルホストと同じバージョンの CyberTrace をインストールします。
- ローカルホストで:
- ファイル
%service_dir%\bin\kl_feed_service.conf
および%service_dir%\bin\kl_feed_util.conf
を DMZ ホストからエクスポートしたファイルに置き換えます。カスタムフィードが以前に Kaspersky CyberTrace で設定されていた場合は、
httpsrv\etc\custom_feed_list.conf
ファイルの置換または追加(ファイルが存在しなかった場合)も行います。[
Configuration
]→[GUISettings
]→[HTTPServer
]→[ConnectionString
]の順に適切に指定して、ブラウザーで CyberTrace Web を開きます。 - CyberTrace サービスを開始します。
sc start cybertrace
コマンドを実行します。 - [
Configuration
]→[GUISettings
]→[HTTPServer
]→[ConnectionString
]を使用して、CyberTrace Web を開き、[Settings]→[Feeds]ページに新しく追加したフィードがあり、その設定が DMZ ホストの設定と同様であることを確認します。また、すべてのフィードが正しく設定されていることを確認します。 - [Settings]→[Feeds]ページで、[
Update frequency
]パラメータを[Never
]に設定します。
- ファイル
フィードが格納されたディレクトリの同期
ローカルホストと DMZ ホストの両方のフィードを同期するには、RSync ユーティリティを使用します。Windows を実行するコンピューター上で Cygwin を使用して、RSync ユーティリティを実行できます。
以下の Linux コマンドはすべて Cygwin を使用して Windows コンピューター上で実行されます。
RSync ユーティリティを Windows コンピューターにインストールするには:
- Cygwin ディストリビューションから既定のパッケージのセットをインストールします。
- OpenSSH ユーティリティ、OpenSSL ユーティリティ、RSync ユーティリティをインストールします。
- DMZ ホスト上で OpenSSH コンポーネントを次のように構成します:
- 次のコマンドを root として実行します:
ssh-host-config
毎回[
Yes
]を選択します。重要なポイントは、sshd デーモンをサービスとして実行することです。 - 次のコマンドを実行します:
net start sygsshd
- 次のコマンドを root として実行します:
sshd デーモンが自動的に起動します。
ローカルホストで同期を設定するには:
- 秘密鍵、および対応する公開鍵を作成します。
それには、ローカルホスト上で次のコマンドを実行します:
ssh-keygen -t rsa -q -N '' -f /home/<user>/.ssh/dmz_rsa_key
<user>
の代わりにユーザーログインを指定します。キーはパスワードなしで作成されます。 - 次のコマンドを実行して、公開鍵をローカルホストから DMZ ホストにコピーします:
ssh-copy-id -i /home/<user>/.ssh/dmz_rsa_key <DMZ_user>@<DMZ_host>
このコマンドを実行すると、
<DMZ_user>@<DMZ_host>
へのパスワードを要求されます。 - ローカルホスト上で次のコマンドを実行して、フィードが格納されたディレクトリの内容の同期をテストします:
rsync -a --delete-before --delay-updates -e "ssh -i /home/<user>/.ssh/dmz_rsa_key" <DMZ_user>@<DMZ_host>:/<Path_to_feeds>/ /<Path_to_feeds_on_Local>/
このコマンドの
<Path_to_feeds_on_Local>
はローカルホスト上の、フィードが格納されたフォルダーへのパス(つまり、%service_dir%/feeds
)で、<Path_to_feeds>
は DMZ ホスト上の、更新済みフィードが格納されたフォルダーへのパスです。同期テストに合格するには、ローカルコンピューター上のフォルダー
<Path_to_feeds_on_Local>
の内容が、DMZ ホスト上のフォルダー<Path_to_feeds>
の内容と同じである必要があります。
Cygwin を使用して Rsync をテストすると、パス内のスペース文字に関する問題が発生する可能性があります。そのため、以下を実行することを推奨します:
- DMZ ホストのディレクトリのパスを引用符で囲んでスペース文字をエスケープ処理します("\ ")。
- ローカルホストのディレクトリのパスのスペース文字をエスケープ処理します("\ ")。
Cygwin を使用して C:\ ドライブのディレクトリに到達するには、パス /cygdrive/c/
を指定し、その後通常のパス(/cygdrive/c/Users/...)を指定します。
CyberTrace の前のバージョンからのアップグレード
CyberTrace とフィードユーティリティを新しいバージョンにアップグレードするには、次の操作を実行します:
- ローカルホストで、「Windows 上での自動アップグレード」セクションの説明に従い、 CyberTrace をアップグレードします。
- ローカルホストのディレクトリ
%service_dir%\dmz
から、ファイルkl_feed_util.exe
を DMZ ホストの%dmz_fu%\kl_feed_util
に移動します。