連携スキーム全般(Splunk)
2024年4月11日
ID 166026
この章では、Kaspersky CyberTrace と Splunk を連携する方法について簡単に説明します。
連携スキームについて
Kaspersky CyberTrace は、次の 2 つのスキームで Splunk と連携できます:
- 単一インスタンスの連携スキーム
単一インスタンスの連携スキームでは、Kaspersky CyberTrace サービスと Splunk インスタンスを、同じコンピューターまたは別々のコンピューターで動作するように構成します。
- 分散型連携スキーム
分散型連携スキームでは、Kaspersky CyberTrace サービス、Search Head App、および Forwarder App を分散型 Splunk 環境にインストールし、相互にやり取りできるようにサービスと各アプリを構成します。
単一インスタンスの連携モードで Kaspersky CyberTrace と Splunk を連携する方法
Kaspersky CyberTrace と Splunk を単一インスタンスの連携モードで連携するには:
- Kaspersky CyberTrace がインストールされていることを確認します。
単一インスタンスの連携スキームでは、Kaspersky CyberTrace と Splunk インスタンスは同じコンピューターまたは別々のコンピューターにインストールされます。既定の構成では、Kaspersky CyberTrace App for Splunk は Kaspersky CyberTrace と同じコンピューターにインストールされます。しかしながら、Kaspersky CyberTrace を別のコンピューターにインストールすることを推奨します。別のコンピューターにインストールする場合、インストール中に Kaspersky CyberTrace サービスを構成し、ステップ 2(以下参照)に従って Kaspersky CyberTrace App for Splunk を構成する必要があります。
- ステップ 1:Kaspersky CyberTrace App for Splunk をインストールします。
- ステップ 2(オプション):Kaspersky CyberTrace App for Splunk を構成します。
このステップは任意です。このステップを省略すると、Kaspersky CyberTrace App for Splunk には既定の構成が使用されます。既定の構成では、電子メールのアラートは送信されません。
既定では、Kaspersky CyberTrace App for Splunk はポート
9999
を使用して Kaspersky CyberTrace にイベントを送信し、ポート9998
を使用して Kaspersky CyberTrace からイベントを受信します。これらのポートが別のアプリケーションで使用されている場合、Kaspersky CyberTrace App for Splunk またはポートを使用しているアプリケーションのいずれかを、別のポートを使用するように構成する必要があります。 - ステップ 3(オプション):ルックアップスクリプトを構成します。
このステップは任意です。このステップを省略すると、ルックアップスクリプトには既定の構成が使用されます。
- ステップ 4. 検証テストを実行します。
マッチングプロセスの設定を編集する前に、必ず検証テストを実行してください。
分散型連携モードで Splunk と連携する方法
Kaspersky CyberTrace と Splunk を分散型連携モードで連携するには:
- Kaspersky CyberTrace がインストールされていることを確認します。
分散型デプロイメントスキームでは、Kaspersky CyberTrace を Forwarder または Indexer が既にインストールされている任意のコンピューターにインストールすることも、別のコンピューターにインストールすることもできます。
また、インストール中に Kaspersky CyberTrace サービスを構成する必要がありますが、その際、Splunk エンティティ(Forwarder、Indexer など)からイベントを受信し、Kaspersky CyberTrace App for Splunk によって使用されるインデックスを保存する Indexer に自身のイベントを送信するように Kaspersky CyberTrace サービスを構成します。
- ステップ 1:Forwarder App と Search Head App をインストールします。
- ステップ 2. 相互にやり取りでき、Kaspersky CyberTrace にイベントを転送できるように、Forwarder App と Search Head App を構成します。
- ステップ 3(オプション):ルックアップスクリプトを構成します。
このステップは任意です。このステップを省略すると、ルックアップスクリプトには既定の構成が使用されます。
- ステップ 4. 検証テストを実行します。
マッチングプロセスの設定を編集する前に、必ず検証テストを実行してください。