ログスキャナーの使用に関する推奨事項
2024年4月11日
ID 171647
次の場合は Kaspersky CyberTrace サービスとログスキャナーの併用を推奨します:
- 一部のログファイルをチェックしてチェック結果をファイルに保存する必要がある。
使用している SIEM ソリューションが使用不可になっているか、SIEM ソリューションを使用していない場合、情報セキュリティインシデントを調査する際に役に立つことがあります。
- 一部のログファイルをチェックして、使用している SIEM ソリューションに送信する必要がある。
Kaspersky CyberTrace サービスとログスキャナーの構成
Kaspersky CyberTrace サービスとログスキャナーには正しい対話が必要であるため、対応するパラメータを相互に合わせて次のように設定する必要があります:
ログスキャナー設定情報ファイルの[Settings]→[Connection]要素で設定されたポートは、Kaspersky CyberTrace サービス設定情報ファイルの[InputSettings]→[ConnectionString]要素で指定されたポートと一致する必要があります。- ログスキャナー設定情報ファイルの
[Settings]→[ThreadsCount]要素で指定したスレッド数は、Kaspersky CyberTrace サービス設定情報ファイルの[ServiceSettings]→[ScannersCount]要素で指定したスレッド数を下回る必要があります。 - ログスキャナーから Kaspersky CyberTrace サービスに送信されたデータは、ログファイルの行、またはログスキャナー設定情報ファイルの
[Settings]→[Pattern]要素を基に作成された文字列であっても、Kaspersky CyberTrace サービス設定情報ファイルの[Configuration]→[InputSettings]→[RegExps]要素で指定した正規表現で解析する必要があります。
設定情報ファイルの例
以下は、サンプルの Kaspersky CyberTrace サービス設定情報ファイルからの抜粋です。
<Configuration> <InputSettings> <RegExps> <Source id="default"> <!--You can use them in the OutputSettings->EventFormat string with the pattern %REGEXPNAME%--> ... <RE_MD5>md5=(.*?)(?:$|\s)</RE_MD5> <RE_SHA1>sha1=(.*?)(?:$|\s)</RE_SHA1> <RE_SHA256>sha256=(.*?)(?:$|\s)</RE_SHA256> <RE_URL>url=(.*?)(?:$|\s)</RE_URL> <RE_IP>ip=(.*?)(?:$|\s)</RE_IP> </Source> </RegExps> <ConnectionString>127.0.0.1:9999</ConnectionString> <!-- <ip>:<port>.Threat Feed Service listens for <ip>:<port>. <port> must be available --> </InputSettings>
<Feeds per_scan_detect_limit="10000">...</Feeds>
<OutputSettings> ... <FinishedEventFormat>LookupFinished</FinishedEventFormat> </OutputSettings>
<ServiceSettings> ... <ScannersCount>9</ScannersCount> <!-- 1 tcp connection = 1 scanner --> </ServiceSettings> </Configuration> |
以下は、上記の Kaspersky CyberTrace サービス設定情報ファイルに対応するログスキャナー設定情報ファイルからの抜粋です。
<Settings> ... <ThreadsCount>8</ThreadsCount> <Pattern>ip=%IP% md5=%MD5% sha1=%SHA1% sha256=%SHA256% url=%URL%</Pattern> <Connection>127.0.0.1:9999</Connection> </Settings> |
これらの設定情報ファイルを使用すると、ログスキャナーはリクエストを IP アドレス 127.0.0.1 とポート 9999 に送信し、Kaspersky CyberTrace サービスはチェックするデータをポート 9999 でリッスンします。ログスキャナーと Kaspersky CyberTrace サービスは、どちらもデータの転送と処理に最大 8 個のスレッドを使用します(Kaspersky CyberTrace サービスは、ヘルスチェックメカニズムのためにスレッドを 1 個使用します)。正しい URL、IP アドレス、ハッシュがチェックのために Kaspersky CyberTrace サービスに送信されると、Kaspersky CyberTrace サービス設定情報ファイルで指定された正規表現を使用して適切に解析されます。
チェック結果の管理
Kaspersky CyberTrace サービスによるデータのチェック後、チェック結果をイベントターゲットソフトウェアに送信することも、ファイルに保存することもできます:
- チェック結果をイベントターゲットソフトウェアに送信する場合は、Kaspersky CyberTrace サービス設定情報ファイルの[
OutputSettings]→[ConnectionString]要素に正しい値を設定してください。 - チェック結果をファイルに保存する場合は、 コマンドラインからログスキャナーを実行する際、次のように
-rオプションを渡します:./log_scanner -r -p file_to_check(Linux の場合)log_scanner.exe -r -p file_to_check(Windows の場合)Kaspersky CyberTrace サービス設定情報ファイルにある
[OutputSettings]→[FinishedEventFormat]要素の enable属性の値をfalseにしないでください。
レポートの例
レポートの内容は、Kaspersky CyberTrace サービス設定情報ファイルの[OutputSettings]→[EventFormat]要素の値によって決まります。
以下は、Kaspersky CyberTrace サービスからログスキャナーに送信されたレポートの例です。
- KL_Data_Feed_Service_v1 LEEF:1.0|Kaspersky Lab|SIEM Service|1.0|KL_Malicious_URL|url=malicious_domain_21.com/folder/load.php?| IP=91.202.63.117, 196.254.10.200, 194.190.253.19, 185.56.137.11, 178.62.5.157, 173.194.222.211, 159.253.145.183, 87.250.250.135, 82.145.209.252, 74.125.205.211 first_seen=11.01.2016 07:17 geo=ru, ua, kz, by, de, ro, az, cz, uz, md id=9491494 last_seen=14.01.2016 13:36 mask=malicious_domain_21.com/folder/load.php?* popularity=5 type=21 Total number of objects sent to KTFS: 1 Total number of detects received from KTFS: 1 Total scan time: 00:00:01.032 |