AlienVault USM / OSSIM と連携するための Kaspersky CyberTrace の構成
AlienVault USM / OSSIM と連携するための Kaspersky CyberTrace の構成
2024年4月11日
ID 183922
このセクションでは、AlienVault USM / OSSIM と連携するように Kaspersky CyberTrace を構成する方法について説明します。
Kaspersky CyberTrace と、Kaspersky CyberTrace に転送されるイベントがあるデバイスは、別のコンピューターで動作する必要があります。転送ルールは IP アドレスに基づきます。そのため、Kaspersky CyberTrace がインストールされるコンピューターの IP アドレスは、Kaspersky CyberTrace に転送する必要があるイベントがあるデバイスの IP アドレスとは異なる必要があります。
Kaspersky CyberTrace を AlienVault USM / OSSIM と連携するように構成するには:
- https://support.kaspersky.com/datafeeds/download/15920 から Kaspersky CyberTrace をダウンロードします。
- Kaspersky CyberTrace をインストールします。
- Linux の場合、インストールディレクトリは
/opt/kaspersky/ktfs
です。 - Windows の場合、インストールディレクトリは
%CyberTrace_installDir%
です。
- Linux の場合、インストールディレクトリは
- Kaspersky CyberTrace Web UI に初めてログインすると、初期セットアップウィザードウィンドウが開きます。
次の Kaspersky CyberTrace 設定を指定します:
- AlienVault USM / OSSIM が実行されているコンピューターの IP アドレス、およびポート
514
これらは、Kaspersky CyberTrace が検知イベントを送信する IP アドレスとポートです。
- Kaspersky CyberTrace が動作するコンピューターの IP アドレス、および使用可能なポート(例:
9999
)これらは、チェックのために AlienVault USM / OSSIM がイベントを送信する IP アドレスとポートです。これは、Kaspersky CyberTrace が受信イベントをリッスンするポートです。
- 次の形式のサービスイベント:
alert=%Alert% context=%RecordContext%
- 次の形式の検知イベント:
category=%Category% detected=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% hash=%RE_MD5% context=%RecordContext%
- AlienVault USM / OSSIM が実行されているコンピューターの IP アドレス、およびポート
- kl_feed_service.conf ファイルで、
[OutputSettings]→[FinishedEventFormat]
要素のenabled
属性をfalse
に設定します。 - kl_feed_service.conf ファイルを保存します。
- Kaspersky CyberTrace Web または kl_feed_service スクリプトを使用して、Kaspersky CyberTrace を再起動します。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。