レトロスキャンの設定

Kaspersky CyberTrace を使用すると、未検知のインジケーターを含む可能性のあるイベントを保存し、更新されたフィードからのインジケーターに従ってこれらのイベントのレトロスキャンを実行して、レトロスキャンの結果を表示できます。このセクションでは、［Settings］→［Retroscan］ページでレトロスキャンを使用するために Kaspersky CyberTrace を設定する方法について説明します。このページにアクセスするには、System management モードに切り替える必要があります。このモードにアクセスできるのは、管理者ロールを持つユーザーのみです。

［Retroscan ］ページでは、次の操作を実行できます：

• レトロスキャンを有効または無効にする。
• 保存したイベントの現在のサイズを表示する。
• 保存したイベントを削除する。

  レトロスキャンの進行中、保存したイベントを削除することはできません。レトロスキャンを無効にし、保存したイベントを削除するには、現在のレトロスキャンタスクが終了するまで待機する必要があります。

  

  ［Retroscan］ページ

• ［General settings ］タブで、次の設定を管理します：
  • スケジュールされたレトロスキャンタスクの頻度を設定するか、スケジュールされたスキャンを無効にします。［Every month］が選択されている場合、レトロスキャンは 30 日ごとに開始されます。
  • レトロスキャン用として保存する必要があるイベントのサイズ制限を有効または無効にします。
  • レトロスキャン用として保存する必要があるイベントの最大サイズ（GB 単位）を設定します。
  • レトロスキャン用として使用したイベントを保存する必要がある期間（日単位）を設定します。
  • レトロスキャンの結果を保存する必要がある期間（日単位）を設定します。

  

  ［General settings］タブ

• ［Feeds］タブで、レトロスキャンで使用する必要があるフィードを有効または無効にします。

  

  ［Feeds］タブ

• ［Regular expressions］タブで、次の設定を定義します：
  • レトロスキャンで使用する特定のテナントに関連するイベントの保存を有効または無効にします。

    レトロスキャンからテナントを除外すると、このテナントに含まれる正規表現を選択できなくなります。

  • レトロスキャンで使用するテナントに含まれる正規表現を選択します。

    少なくとも 1 つの正規表現を選択する必要があります。

  

  ［Regular expressions］タブ

レトロスキャンの設定に関する推奨事項

レトロスキャンはリソースを大量に消費する機能であり、大量のデータをチェックする場合には長時間かかる場合があります。すべての受信イベントのインジケーターを検索せずにレトロスキャンをより効率的に使用するには、レトロスキャンされるイベントを個別のイベントソースに抽出することを推奨します。

レトロスキャンのイベントソースを追加するには：

1. イベントソースを追加します。

   イベントソース設定を定義する際は、次の点に注意してください：

   • イベントを特定する正規表現を追加します（たとえば、Syslog メッセージ形式の場合は ^\<d+\>.*$ など）。
   • このソースおよびインジケータータイプに、一般的なルール名を設定します（例：RE_IP_NEW_SIEM）。

     各種のイベントソースの正規表現については、「主要なイベントソースに対応する正規表現」を参照してください。

2. ［Settings］→［Retroscan］に移動して、［Regular expressions］タブを選択します。
3. レトロスキャンに必要なソースとその正規表現のみを有効にします。
4. 変更内容を保存します。

レトロスキャンに関連するサービスアラート

Kaspersky CyberTrace は、レトロスキャンプロセスについて通知するために、次のサービスアラートを生成します：

• KL_ALERT_RetroScanCompleted
• KL_ALERT_RetroScanError
• KL_ALERT_RetroScanStorageExceeded

上記のアラートの詳細については、「Kaspersky CyberTrace から送信されるサービスアラート」セクションを参照してください。

ページのトップに戻る