AlienVault USM / OSSIM と連携するための Kaspersky CyberTrace の設定

このセクションでは、AlienVault USM / OSSIM と連携するように Kaspersky CyberTrace を設定する方法について説明します。

Kaspersky CyberTrace と、Kaspersky CyberTrace に転送されるイベントがあるデバイスは、別のコンピューターで動作する必要があります。転送ルールは IP アドレスに基づきます。そのため、Kaspersky CyberTrace がインストールされるコンピューターの IP アドレスは、Kaspersky CyberTrace に転送する必要があるイベントがあるデバイスの IP アドレスとは異なる必要があります。

Kaspersky CyberTrace を AlienVault USM / OSSIM と連携するように設定するには：

1. https://support.kaspersky.com/datafeeds/download/15920 から Kaspersky CyberTrace をダウンロードします。
2. Kaspersky CyberTrace をインストールします。
   • Linux では、Kaspersky CyberTrace は /opt/kaspersky/ktfs ディレクトリにインストールされます。
   • Windows インストールについては、これ以降、インストールディレクトリを %CyberTrace_installDir_installDir% と表記します。
3. Kaspersky CyberTrace Web UI に初めてサインインすると、初期セットアップウィザードが開きます。

   次の Kaspersky CyberTrace 設定を指定します：

   • AlienVault USM / OSSIM が実行されているコンピューターの IP アドレス、およびポート 514

     これらは、Kaspersky CyberTrace が検知イベントを送信する IP アドレスとポートです。

   • Kaspersky CyberTrace が動作するコンピューターの IP アドレス、および使用可能なポート（例：9999）

     これらは、チェックのために AlienVault USM / OSSIM がイベントを送信する IP アドレスとポートです。これは、Kaspersky CyberTrace が受信イベントをリッスンするポートです。

   • 次の形式のサービスイベント：

     alert=%Alert% context=%RecordContext%

   • 次の形式の検知イベント：

     category=%Category% detected=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% hash=%RE_MD5% context=%RecordContext%

4. kl_feed_service.conf ファイルで、［OutputSettings］→［FinishedEventFormat］要素の enabled 属性を false に設定します。
5. kl_feed_service.conf ファイルを保存します。
6. Kaspersky CyberTrace Web または kl_feed_service スクリプトを使用して、Kaspersky CyberTrace を再起動します。

ページのトップに戻る