テナント設定

Kaspersky CyberTrace は、テナントを管理できるマルチテナントアーキテクチャをサポートしています。テナントは、クライアント固有の一連の設定パラメータです。テナントは、マネージドセキュリティサービスプロバイダーが、単一の Kaspersky CyberTrace インスタンス内で顧客を区別する場合に特に役立ちます。

この機能は、ライセンスレベルによって課せられる制限により無効になる場合があります。

既定では、Kaspersky CyberTrace は、全体的な設定を提供する General テナントを使用します。Kaspersky CyberTrace Web の［Settings］→［Tenants］ページで、テナントを作成または編集できます。このページにアクセスするには、System management モードに切り替える必要があります。このモードにアクセスできるのは、管理者ロールを持つユーザーのみです。

［Tenants］ページで、Kaspersky CyberTrace で使用されるテナントに関する情報を表示し、次の操作を実行できます：

• 新しいテナントを追加する
• テナントの設定に移動する
• テナントを削除する
• テナントの統計情報をリセットする

その他の設定で、テナントと連携させる SIEM システムを選択する必要があります。Kaspersky CyberTrace は、SIEM ごとに複数の事前設定を使用します。これには、イベントを解析するための設定や、イベント形式の設定（検知アラートやサービスアラート用）などがあります。

次の SIEM システムがサポートされています：

• Kaspersky Unified Monitoring and Analysis Platform
• Splunk
• ArcSight
• QRadar
• RSA NetWitness
• LogRhythm

テナントの追加

テナントを追加するには：

1. ［Add tenant］をクリックします。

   ［Add tenant］ウィンドウが開きます。

2. ［Tenant name］フィールドでテナントの名前を指定します。

   テナント名の長さは 1 ～ 64 文字にする必要があります。アルファベット、数字、特殊文字（" '、. @ # $ % & * № / \）、またはスペース文字を含めることができます。

   General テナントのテナント名を変更することはできません。

3. ［Description］フィールドでこのテナントの説明を指定します。

   テナントの説明は 0 ～ 2048 文字にする必要があります。アルファベット、数字、特殊文字（" '、. @ # $ % & * № / \）、スペース文字、改行を含めることができます。

4. テナントと連携させる SIEM システムを選択します。

   Kaspersky CyberTrace でサポートされている SIEM システム、またはカスタムの SIEM システム（サポートされていない SIEM）を選択できます。

   この SIEM システムは、Kaspersky CyberTrace にイベントを送信するためのテナントで使用されます。

   選択した SIEM システムに応じて、Kaspersky CyberTrace は、この SIEM システムとの連携に使用される正規表現、検知アラート形式、およびサービスアラート形式のセットを指定します。

5. ［Tenant EPS limit］で、テナントの秒ごとに発生するイベント数（EPS）の上限を設定します：
   1. スイッチを有効にします。
   2. ［EPS limit］に、必要な EPS 上限の値を入力します。

   EPS 値がしきい値に近づくと、Web インターフェイスに警告が表示され、警告アラートが生成されます。テナント内で制限を超えると、制限を超えた分のトラフィックがこのテナントでドロップされ、警告も表示され、警告アラートが生成されます。テナントの EPS が制限されていないと、他のテナント（存在する場合）に影響を及ぼす可能性があります。

6. ［Incoming events］で、Kaspersky CyberTrace が受信イベントをリッスンするために使用するテナントに固有のソケットのパラメータを定義します：
   1. 使用する接続の種別（IP address and portまたはUNIX socket）を選択します。
   2. 接続の種別に応じて、次のいずれかを実行します：
      • ［IP address］および［Port］フィールドで、IP アドレスとポートを指定します。
      • ［UNIX socket］フィールドで、UNIX™ ソケットを指定します。
7. ［Detection alerts］で、Kaspersky CyberTrace が検知に関するアラートを送信するために使用するテナントに固有の IP アドレスとポートを指定します。
8. ［Save］をクリックします。

テナントのリストに新しいテナントが表示されます。

テナントの編集

テナントの作成後に、テナントの設定を編集できます（作成時に定義しなかった設定も含む）。

テナントを編集するには：

編集するテナントに隣接する［Go to the settings］をクリックし、必要なメニュー項目を選択します：

• General

  表示される Data management モードの［Settings］→［General］ページで、テナントの全般設定を編集することができます。

• Feeds

  表示される Data management モードの［Settings］→［Feeds］ページで、テナントがアクセスできるフィードを編集できます。

• Event sources

  表示される［Data management］モードの［Settings］→［Event sources］ページで、テナントがアクセスできるイベントソースを編集できます。

• Service alerts

  表示される［Data management］モードの［Settings］→［Service alerts］ページで、テナントのステータスを別のソフトウェア（SIEM システムなど）に通知するサービスアラートの設定を編集できます。

• Detections

  表示される Data management モードの［Settings］→［Detections］ページで、詳細な分析と調査のために検知アラートを保存する設定を編集できます。

テナントを削除する

General テナントは削除できません。

テナントを削除するには：

1. テナントのリストで、削除するテナントに隣接する （［Delete］）アイコンをクリックします。
2. 開いた確認ウィンドウで、［Delete］をクリックします。

削除されたテナントは、テナントのリストから表示されなくなります。

統計情報のリセット

この動作により、このテナントに関連するすべての検知統計情報のダッシュボードの内容が消去されます。

この操作は、Kaspersky CyberTrace と SIEM システムとの連携に成功した後に実行することを推奨します。これは、ダッシュボードには、検証テスト中に生成された検知アラートは表示されず、実際の検知アラート（存在する場合）のみが含まれることを意味します。

テナントの統計情報をリセットするには：

1. テナントのリストで、リセットする統計情報があるテナントに隣接する （［Reset statistics］）アイコンをクリックします。
2. 表示される確認ウィンドウで、［Reset］をクリックします。

テナントの統計情報がリセットされます。

ページのトップに戻る