このセクションでは、Kaspersky CyberTrace の配布キットの内容について説明します。
配布キットの種別
Kaspersky CyberTrace は以下の種別の配布キットで配布されます:
この種別の配布キットは、Linux システムでのインストール用です。
この種別の配布キットは、Linux システムでのインストール用です。
この種別の配布キットは、Windows® システムでのインストール用です。
連携ファイルについて
すべての Kaspersky CyberTrace 配布キットは、特定の SIEM ソリューションとの連携、またはスタンドアロンの連携向けにカスタマイズされています。各配布キットには、この SIEM ソリューションとの連携に使用できる多数のファイルが含まれています。さらに、配布キットに含まれる Kaspersky CyberTrace サービスやユーティリティの設定情報ファイルも、SIEM ソリューションと容易に連携されるようにカスタマイズされています。
たとえば、Splunk 用の配布キットには、すべての Kaspersky CyberTrace コンポーネントに加えて、Splunk を使用する Kaspersky CyberTrace サービスとフィードユーティリティのカスタマイズ済み設定情報ファイルが含まれています。配布キット内の連携ディレクトリには、Splunk 連携スキームのすべてのバリアント用アプリケーションがあります。Splunk インフラストラクチャにこれらのアプリケーションをデプロイして使用できます。
RPM および DEB 配布キット
この種別の配布キットには、以下のファイルとディレクトリが含まれます。
配布キットの内容(RPM および DEB パッケージ)
項目 |
説明 |
Kaspersky_CyberTrace-Linux-%architecture%-%version%.rpm(RPM パッケージ) Kaspersky_CyberTrace-Linux-%architecture%-%version%.deb(DEB パッケージ) |
Kaspersky CyberTrace のインストールパッケージ。 このパッケージ内のファイルリストは、以下の「アーカイブとパッケージに含まれるファイル(Linux)」サブセクションを参照してください。 |
legal_notices.txt |
法的通知。 |
run.sh |
インストールスクリプト。 |
実行可能なインストーラーの配布キット
この種別の配布キットには、以下のファイルが含まれます。
配布キットの内容(実行可能なインストーラー)
項目 |
説明 |
Kaspersky_CyberTrace-Windows-%architecture-version%-Release.exe |
実行可能なインストーラー。 このパッケージ内のファイルリストは、以下の「アーカイブとパッケージに含まれるファイル(Windows)」サブセクションを参照してください。 |
アーカイブとパッケージに含まれるファイル(Linux)
RPM および DEB パッケージには、以下のファイル一式が含まれます。
アーカイブとパッケージに含まれるファイル(Linux)
項目 |
説明 |
bin/.need_run_wizard |
初期セットアップウィザード。このファイルは、初期セットアップの終了後に削除されます。 |
bin/configure |
コンフィギュレーターユーティリティのバイナリファイル。 |
bin/en_US/* |
英語のローカライゼーションファイル。 |
bin/kl_feed_service |
Kaspersky CyberTrace サービスのバイナリファイル。 |
bin/kl_balancer_log.conf |
Balancer のロギング設定情報ファイル。 |
bin/kl_feed_service_log.conf |
Kaspersky CyberTrace サービスのロギング設定情報ファイル。 |
bin/kl_balancer |
Balancer のバイナリファイル。 |
bin/kl_balancer.conf |
Balancer の設定情報ファイル。 |
modules/elasticsearch/* |
Elasticsearch データベースのファイルを含むディレクトリ |
dmz/cron_dmz.sh |
別のコンピューターからフィードを更新するためのスクリプト。 |
dmz/demofeeds.pem |
デモ用のフィードにアクセスするために必要な証明書。 |
dmz/feeds.pem |
デモ用のフィードにアクセスするために必要な証明書。Kaspersky CyberTrace のインストール中に指定される証明書に置き換えられます。 |
dmz/kl_feed_compiler |
フィードユーティリティがフィードをコンパイルするために使用するバイナリファイル。 |
dmz/kl_feed_util |
フィードユーティリティのバイナリファイル。 |
dmz/kl_feed_util.conf |
フィードユーティリティの設定情報ファイル。 |
dmz/TextExtraction |
PDF ファイルを解析するユーティリティ |
doc/Kaspersky_CyberTrace_Online_Documentation.html |
Kaspersky CyberTrace のオンラインドキュメントにリダイレクトする HTML ページ。 |
doc/legal_notices.txt |
法的通知。 |
doc/license.txt |
エンドユーザー使用許諾契約(EULA)。 |
etc/systemd/system/cybertrace.service |
Kaspersky CyberTrace サービス用の Systemd ユニットファイル。 |
etc/systemd/system/cybertrace_balancer.service |
Balancer 用の Systemd ユニットファイル。 |
etc/systemd/system/cybertrace_db.service |
Elasticsearch データベースサービス用の Systemd ユニットファイル。 |
etc/kl_feed_service.conf |
Kaspersky CyberTrace サービスの設定情報ファイル。 |
etc/kl_feed_service_templates.conf |
設定情報ファイルのテンプレート。 |
etc/kl_feed_util.conf |
フィードユーティリティの構成ファイル。 |
etc/kl_feed_util_diff.conf |
差分フィードとの併用向けのフィードユーティリティの設定情報ファイル。 |
feeds/APT_URL_Data_Feed.json.url.bin/* feeds/Botnet_CnC_URL_Data_Feed.json.url.bin/* feeds/Demo_Botnet_CnC_URL_Data_Feed.json.url.bin/* feeds/IoT_URL_Data_Feed.json.url.bin/* feeds/Malicious_URL_Data_Feed.json.url.bin/* feeds/Mobile_Botnet_CnC_URL_Data_Feed.json.url.bin/* feeds/Phishing_URL_Data_Feed.json.url.bin/* feeds/Ransomware_URL_Data_Feed.json.url.bin/* /feeds/White_List.json.url.bin/masks_0001.dat |
フィード用のコンパイル済み URL マスク。 |
feeds/Demo_Botnet_CnC_URL_Data_Feed.json feeds/Demo_IP_Reputation_Data_Feed.json feeds/Demo_Malicious_Hash_Data_Feed.json |
デモ用のフィード。 |
feeds/APT_Hash_Data_Feed.json feeds/APT_IP_Data_Feed.json feeds/APT_URL_Data_Feed.json feeds/Botnet_CnC_URL_Data_Feed.json feeds/IoT_URL_Data_Feed.json feeds/IP_Reputation_Data_Feed.json feeds/Malicious_Hash_Data_Feed.json feeds/Malicious_URL_Data_Feed.json feeds/Mobile_Botnet_CnC_URL_Data_Feed.json feeds/Mobile_Malicious_Hash_Data_Feed.json feeds/Phishing_URL_Data_Feed.json feeds/Ransomware_URL_Data_Feed.json feeds/ICS_Hash_Data_Feed.json |
製品版フィードの検証テストを実行するためのファイル。これらのファイルは、アップデート時に実際の製品版フィードによって置き換えられます。 |
httpsrv/etc/kl_feed_info.conf |
Kaspersky Threat Data Feeds についての情報を含むファイル。 |
httpsrv/etc/kl_feed_info_diff.conf |
使用可能な差分バージョンがある Kaspersky Threat Data Feeds についての情報を含むファイル。 |
httpsrv/etc/ktfsaccess |
Kaspersky CyberTrace アカウントについての情報を含むファイル。 |
httpsrv/etc/ktfsstatistics.kvdb |
Kaspersky CyberTrace Web 用の予備ファイル。 このファイルは配布キットには含まれませんが、Kaspersky CyberTrace での処理中に作成されます。 |
httpsrv/etc/ktfsstorage.kvdb |
開いているセッションと進行中のタスクについての情報を含むファイル。 このファイルは配布キットには含まれませんが、Kaspersky CyberTrace での処理中に後で作成されます。 |
httpsrv/etc/ktfstasks.kvdb |
Kaspersky CyberTrace Web 用の予備ファイル。 このファイルは配布キットには含まれませんが、Kaspersky CyberTrace での処理中に作成されます。 |
httpsrv/etc/osint_feed_list.conf |
サポートされる OSINT feeds のリストを含むファイル。 |
httpsrv/kl_feed_service_cert.pem |
HTTPS 接続用のローカルコンピューター上の PEM 形式の証明書へのパス。 |
httpsrv/kl_feed_service_private.pem |
HTTPS 接続用のローカルコンピューター上の PEM 形式の秘密鍵へのパス。 |
httpsrv/templates/* |
Kaspersky CyberTrace Web 用のテンプレートを含むディレクトリ。 |
httpsrv/templates_kuma/* |
KUMA との連携用の Kaspersky CyberTrace Web テンプレートを含むディレクトリ。 |
integration/* |
特定の SIEM ソリューションとの連携用ファイル。 これらのファイルのリストは、以下の「連携ファイル」サブセクションを参照してください。 |
plugins/virus_total/* |
VirusTotal プラグインのファイルを含むディレクトリ |
scripts/cron_cybertrace.sh |
Kaspersky CyberTrace サービスとフィードユーティリティが別々のコンピューターにインストールされている場合にフィードを更新するためのスクリプト。 |
tools/integrity_checker |
プラグインの署名をチェックするユーティリティ |
tools/kl_access_util |
Password Utility。 |
tools/kl_feed_compiler |
フィードユーティリティがフィードをコンパイルするために使用するバイナリファイル。 |
tools/kl_feed_util |
フィードユーティリティのバイナリファイル。 |
tools/log_scanner |
ログスキャナーのバイナリファイル。 |
tools/log_scanner.conf |
ログスキャナーの設定情報ファイル。 |
tools/openssl |
OpenSSL のバイナリファイル。 |
tools/openssl.cnf |
OpenSSL の設定情報ファイル。 |
tools/output/feeds.info |
予備のファイル。 |
tools/TextExtraction |
PDF ファイルを解析するユーティリティ |
var/graphs/* |
図表のファイルのディレクトリ |
var/retroscan/* |
レトロスキャンタスクのファイルのディレクトリ |
verification/kl_verification_test_leef.txt |
検証テスト用の LEEF 形式のイベント。 |
verification/kl_verification_test_cef.txt |
検証テスト用の CEF 形式のイベント。 |
アーカイブとパッケージに含まれるファイル(Windows)
実行可能なインストーラーには、以下のファイル一式が含まれます。
アーカイブとパッケージに含まれるファイル(Windows)
項目 |
説明 |
bin\.need_run_wizard |
初期セットアップウィザード。このファイルは、初期セットアップの終了後に削除されます。 |
bin\en_US |
英語のローカライゼーションファイル。 |
bin\kl_feed_service.conf |
Kaspersky CyberTrace サービスの設定情報ファイル。 |
bin\kl_feed_service.exe |
Kaspersky CyberTrace サービスのバイナリファイル。 |
bin\kl_balancer_log.conf |
Balancer のロギング構成ファイル。 |
bin\kl_feed_service_log.conf |
Kaspersky CyberTrace サービスのロギング設定情報ファイル。 |
bin\kl_feed_service_template.conf |
Kaspersky CyberTrace サービスの設定情報ファイルテンプレート。 |
bin\kl_feed_util.conf |
フィードユーティリティの構成ファイル。 |
bin\kl_balancer.exe |
Balancer のバイナリファイル。 |
bin\kl_balancer.conf |
Balancer の設定情報ファイル。 |
bin\kl_feed_util_diff.conf |
差分フィードとの併用向けのフィードユーティリティの設定情報ファイル。 |
modules\elasticsearch\* |
Elasticsearch データベースのファイルを含むフォルダー |
dmz\cron_dmz.cmd |
別のコンピューターからフィードを更新するためのスクリプト。 |
dmz\demofeeds.pem |
デモ用のフィードにアクセスするために必要な証明書。 |
dmz\feeds.pem |
デモ用のフィードにアクセスするために必要な証明書。Kaspersky CyberTrace のインストール中に指定された証明書と置き換えられます。 |
dmz\kl_feed_compiler.exe |
フィードユーティリティがフィードをコンパイルするために使用するバイナリファイル。 |
dmz\kl_feed_util.conf |
フィードユーティリティの構成ファイル。 |
dmz\kl_feed_util.exe |
フィードユーティリティのバイナリファイル。 |
dmz\TextExtraction.exe |
PDF ファイルを解析するユーティリティ |
doc\Kaspersky_CyberTrace_Online_Documentation.html |
Kaspersky CyberTrace のオンラインドキュメントにリダイレクトする HTML ページ。 |
doc\legal_notices.txt |
法的通知。 |
doc\license.rtf |
エンドユーザー使用許諾契約(EULA)。 |
doc\ReleaseNotes.txt |
リリースノート。 |
feeds\APT_URL_Data_Feed.json.url.bin\* feeds\Botnet_CnC_URL_Data_Feed.json.url.bin\* feeds\Demo_Botnet_CnC_URL_Data_Feed.json.url.bin\* feeds\IoT_URL_Data_Feed.json.url.bin\* feeds\Malicious_URL_Data_Feed.json.url.bin\* feeds\Mobile_Botnet_CnC_URL_Data_Feed.json.url.bin\* feeds\Phishing_URL_Data_Feed.json.url.bin\* feeds\Ransomware_URL_Data_Feed.json.url.bin\* feeds |
フィード用のコンパイル済み URL マスク。 |
feeds\Demo_Botnet_CnC_URL_Data_Feed.json feeds\Demo_IP_Reputation_Data_Feed.json feeds\Demo_Malicious_Hash_Data_Feed.json |
デモ用のフィード。 |
feeds\APT_Hash_Data_Feed.json feeds\APT_IP_Data_Feed.json feeds\APT_URL_Data_Feed.json feeds\Botnet_CnC_URL_Data_Feed.json feeds\IoT_URL_Data_Feed.json feeds\IP_Reputation_Data_Feed.json feeds\Malicious_Hash_Data_Feed.json feeds\Malicious_URL_Data_Feed.json feeds\Mobile_Botnet_CnC_URL_Data_Feed.json feeds\Mobile_Malicious_Hash_Data_Feed.json feeds\Phishing_URL_Data_Feed.json feeds\Ransomware_URL_Data_Feed.json feeds\ICS_Hash_Data_Feed.json |
製品版フィードの検証テストを実行するためのファイル。これらのファイルは、アップデート時に実際の製品版フィードによって置き換えられます。 |
httpsrv\etc\kl_feed_info.conf |
Kaspersky Threat Data Feeds についての情報を含むファイル。 |
httpsrv\etc\kl_feed_info_diff.conf |
使用可能な差分バージョンがある Kaspersky Threat Data Feeds についての情報を含むファイル。 |
httpsrv\etc\ktfsaccess |
Kaspersky CyberTrace アカウントについての情報を含むファイル。 |
httpsrv\etc\ktfsstatistics.kvdb |
Kaspersky CyberTrace Web 用の予備ファイル。 このファイルは配布キットには含まれませんが、Kaspersky CyberTrace での処理中に作成されます。 |
httpsrv\etc\ktfsstorage.kvdb |
開いているセッションと進行中のタスクについての情報を含むファイル。 このファイルは配布キットには含まれませんが、Kaspersky CyberTrace での処理中に作成されます。 |
httpsrv\etc\ktfstasks.kvdb |
Kaspersky CyberTrace Web 用の予備ファイル。 このファイルは配布キットには含まれませんが、Kaspersky CyberTrace での処理中に作成されます。 |
httpsrv\etc\osint_feed_list.conf |
サポートされる OSINT feeds のリストを含むファイル。 |
httpsrv\kl_feed_service_cert.pem |
HTTPS 接続用のローカルコンピューター上の PEM 形式の証明書へのパス。 |
httpsrv\kl_feed_service_private.pem |
HTTPS 接続用のローカルコンピューター上の PEM 形式の秘密鍵へのパス。 |
httpsrv\templates\* |
Kaspersky CyberTrace Web 用のテンプレートを含むフォルダー。 |
httpsrv\templates_kuma |
KUMA との連携用の Kaspersky CyberTrace Web テンプレートを含むフォルダー。 |
integration\* |
特定の SIEM ソリューションとの連携用ファイル。 これらのファイルのリストは、以下の「連携ファイル」サブセクションを参照してください。 |
plugins\virus_total\* |
VirusTotal プラグインのファイルを含むフォルダー |
scripts\cron_cybertrace.cmd |
Kaspersky CyberTrace サービスとフィードユーティリティが別々のコンピューターにインストールされている場合にフィードを更新するためのスクリプト。 |
tools\integrity_checker.exe |
プラグインの署名をチェックするユーティリティ |
tools\kl_access_util.exe |
Password Utility。 |
tools\kl_feed_compiler.exe |
フィードユーティリティがフィードをコンパイルするために使用するバイナリファイル。 |
tools\kl_feed_util.exe |
フィードユーティリティのバイナリファイル。 |
tools\log_scanner.conf |
ログスキャナーの構成ファイル。 |
tools\log_scanner.exe |
ログスキャナーのバイナリファイル。 |
tools\openssl.cnf |
自己署名証明書を生成するための OpenSSL の設定情報ファイル。 |
tools\openssl.exe |
OpenSSL のバイナリファイル。 |
tools\TextExtraction.exe |
PDF ファイルを解析するユーティリティ |
var\graphs\* |
図表のファイルのフォルダーこのフォルダーは配布キットには含まれておらず、Kaspersky CyberTraceの実行中に作成されます。 |
var\retroscan\* |
レトロスキャンタスクのファイルのフォルダーこのフォルダーは配布キットには含まれておらず、Kaspersky CyberTraceの実行中に作成されます。 |
verification\kl_verification_test_leef.txt |
検証テスト用の LEEF 形式のイベント。 |
verification\kl_verification_test_cef.txt |
検証テスト用の CEF 形式のイベント。 |
連携ファイル(Splunk)
以下の表で Splunk 用の連携ファイルについて説明します。
連携ファイル(Splunk)
項目 |
説明 |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk.tar.gz |
単一インスタンスの連携スキーム用の Kaspersky CyberTrace App for Splunk アプリケーションファイル。 |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Forwarder.tar.gz |
分散型連携スキーム用の Kaspersky CyberTrace App for Splunk Heavy Forwarder アプリケーションファイル。 |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Search-Head.tar.gz |
分散型連携スキーム用の Kaspersky CyberTrace App for Splunk Search Head アプリケーションファイル。 |
/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Universal-Forwarder.tar.gz |
分散型連携スキーム用の Kaspersky CyberTrace App for Splunk Universal Forwarder アプリケーションファイル。 |
連携ファイル(ArcSight)
以下の表で ArcSight 用の連携ファイルについて説明します。
連携ファイル(ArcSight)
項目 |
説明 |
integration/arcsight/Kaspersky_CyberTrace_Connector.arb |
ArcSight 用の Kaspersky CyberTrace Connector ARB ファイル。 |
連携ファイル(QRadar)
以下の表で QRadar 用の連携ファイルについて説明します。
連携ファイル(QRadar)
項目 |
説明 |
integration/qradar/sample_initiallog.txt |
イベントを QRadar に最初に送信するログの例。 |
integration/qradar/sample_qid.txt |
QRadar へのインポートの QID リストの例。 |
連携ファイル(RSA NetWitness)
以下の表で RSA NetWitness 用の連携ファイルについて説明します。
連携ファイル(RSA NetWitness)
項目 |
説明 |
integration/rsa/additional_elements/CyberTrace_Charts.zip |
事前構成済みのグラフを含むファイル。 |
integration/rsa/additional_elements/CyberTrace_Reports.zip |
事前構成済みのレポートを含むファイル。 |
integration/rsa/additional_elements/CyberTrace_Rules.zip |
Kaspersky CyberTrace サービスからイベントを操作するルールを含むファイル。 |
integration/rsa/additional_elements/index-concentrator-custom.xml |
ファイル index-concentrator-custom.xml に追加できるデータの例。このデータの例には、kl 入力可能フィールドの説明のみが含まれます。 |
integration/rsa/additional_elements/Kaspersky CyberTrace.zip |
RSA NetWitness 11.0 で Kaspersky CyberTrace ダッシュボードを作成するためのファイル。 |
integration/rsa/additional_elements/Kaspersky+CyberTrace.cfg |
RSA NetWitness 10.6 で Kaspersky CyberTrace ダッシュボードを作成するためのファイル。 |
integration/rsa/additional_elements/MetaGroups.jsn |
Kaspersky CyberTrace サービスが入力するフィールドを RSA NetWitness で参照するために使用されるメタグループを含むファイル。 |
integration/rsa/additional_elements/MetaGroups_without_kl_fields.jsn |
[Navigate]タブのメタグループ。このメタグループには、 |
integration/rsa/additional_elements/table-map-custom.xml |
ファイル table-map-custom.xml に追加できるデータの例。このデータの例には、 |
integration/rsa/cybertrace/cybertrace.ini |
Kaspersky CyberTrace と RSA NetWitness の連携に使用されるファイル。 |
integration/rsa/cybertrace/v20_cybertracemsg.xml |
Kaspersky CyberTrace と RSA NetWitness の連携に使用されるファイル。 |
連携ファイル(LogRhythm)
以下の表で LogRhythm 用の連携ファイルについて説明します。
連携ファイル(LogRhythm)
項目 |
説明 |
integration/logrhythm/events/* |
LogRhythm にインポートするための次の KasperskyCyberTrace ルールを含むファイル:
|