Kaspersky CyberTrace インスタンスの構成

このセクションでは、Kaspersky CyberTrace のインスタンスを高可用性モードで使用するために設定する方法について説明します。

Kaspersky CyberTrace を高可用性モードで使用するには、Kaspersky CyberTrace のすべてのインスタンスを次のように設定します：

1. Kaspersky Threat Data Feeds の同じ証明書をインポートします。
2. 同じ Kaspersky Threat Data Feeds を有効にします。
3. 必要に応じて、同じ OSINT feed を有効にし、同一のカスタムおよびサードパーティのフィードを追加および設定します。

   手動で追加した背景情報フィールド、および Kaspersky CyberTrace Web または REST API を使用して追加された FalsePositive インジケーターおよび InternalTI 脅威インジケーターが、すべての Kaspersky CyberTrace インスタンスで同一である必要があります。

4. 同じライセンスを追加するか、すべてのインスタンスで Community Edition を使用します。
5. 同一の名前とフィルタリングルールを使用してインジケーターエクスポートタスクを追加します。
6. 次のように Balancer からの受信イベントをマッチングするために同一の正規表現を指定します。

   Balancer からの受信イベントをマッチングするための正規表現

   インジケータータイプ	ルール名	正規表現
   CONTEXT	REQ	^(\d+)\s

   正規表現には許可されている任意の名前を使用できますが、次の設定ステップでは同じ正規表現名を使用するよう徹底してください。

   既定のイベントソースで正規表現を指定することも、新しい正規表現を作成することもできます。

7. 検知とサービスアラートに対して同一のイベント形式設定を指定します。

   各イベントは、REQ 正規表現によって受信イベントから抽出された値から始まる必要があります。たとえば、%REQ% category=%Category% %RecordContext% のようにします。

8. 受信した各イベントに応じて Kaspersky CyberTrace によって生成されるアラートの形式を設定します。
   1. 次のコマンドを実行して、Kaspersky CyberTrace サービスを停止します：
      • systemctl stop cybertrace.service （Linux の場合）
      • sc stop cybertrace（Windows の場合）
   2. Kaspersky CyberTrace サービスの設定情報ファイルの［OutputSettings］→［FinishedEventFormat］要素内で、情報イベントの形式を次のように指定します：

      <FinishedEventFormat enabled="true">%REQ% LookupFinished</FinishedEventFormat>

      これらのアラートは内部使用専用です。これらは SIEM に送信されません。

   3. 設定情報ファイルを保存します。
   4. Kaspersky CyberTrace サービスを起動します：
      • systemctl start cybertrace.service （Linux の場合）
      • sc start cybertrace（Windows の場合）

必要に応じて、［Settings］→［Service］タブの［Service alerts］セクションで、Balancer にサービスアラートを送信するための接続設定を指定します。ファイル kl_balancer.conf 内の次のパラメータを使用します：

• ［Balancer］要素に指定されている IP アドレス
• ［Balancer］要素の cybertrace_port パラメータに指定されているポート

サービスアラートは SIEM に直接送信できます。

検知アラートを送信するための設定は、高可用性モードでは使用されません。Balancer はイベントマッチングの結果を ReplyBack モードで受信するためです。

ページのトップに戻る