AlienVault USM / OSSIM と連携するための Kaspersky CyberTrace の構成

このセクションでは、AlienVault USM / OSSIM と連携するように Kaspersky CyberTrace を構成する方法について説明します。

Kaspersky CyberTrace と、Kaspersky CyberTrace に転送されるイベントがあるデバイスは、別のコンピューターで動作する必要があります。転送ルールは IP アドレスに基づきます。そのため、Kaspersky CyberTrace がインストールされるコンピューターの IP アドレスは、Kaspersky CyberTrace に転送する必要があるイベントがあるデバイスの IP アドレスとは異なる必要があります。

Kaspersky CyberTrace を AlienVault USM / OSSIM と連携するように構成するには：

1. https://support.kaspersky.com/datafeeds/download/15920 から Kaspersky CyberTrace をダウンロードします。
2. Kaspersky CyberTrace をインストールします。
   • Linux の場合、インストールディレクトリは /opt/kaspersky/ktfs です。
   • Windows の場合、インストールディレクトリは %Cyber​​Trace_installDir% です。
3. Kaspersky CyberTrace Web UI に初めてログインすると、初期セットアップウィザードウィンドウが開きます。

   次の Kaspersky CyberTrace 設定を指定します：

   • AlienVault USM / OSSIM が実行されているコンピューターの IP アドレス、およびポート 514

     これらは、Kaspersky CyberTrace が検知イベントを送信する IP アドレスとポートです。

   • Kaspersky CyberTrace が動作するコンピューターの IP アドレス、および使用可能なポート（例：9999）

     これらは、チェックのために AlienVault USM / OSSIM がイベントを送信する IP アドレスとポートです。これは、Kaspersky CyberTrace が受信イベントをリッスンするポートです。

   • 次の形式のサービスイベント：

     alert=%Alert% context=%RecordContext%

   • 次の形式の検知イベント：

     category=%Category% detected=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% hash=%RE_MD5% context=%RecordContext%

4. kl_feed_service.conf ファイルで、［OutputSettings］→［FinishedEventFormat］要素の enabled 属性を false に設定します。
5. kl_feed_service.conf ファイルを保存します。
6. Kaspersky CyberTrace Web または kl_feed_service スクリプトを使用して、Kaspersky CyberTrace を再起動します。