この章では、Kaspersky CyberTrace と Splunk を連携する方法について簡単に説明します。
連携スキームについて
Kaspersky CyberTrace は、次の 2 つのスキームで Splunk と連携できます:
単一インスタンスの連携スキームでは、Kaspersky CyberTrace サービスと Splunk インスタンスを、同じコンピューターまたは別々のコンピューターで動作するように構成します。
分散型連携スキームでは、Kaspersky CyberTrace サービス、Search Head App、および Forwarder App を分散型 Splunk 環境にインストールし、相互にやり取りできるようにサービスと各アプリを構成します。
単一インスタンスの連携モードで Kaspersky CyberTrace と Splunk を連携する方法
Kaspersky CyberTrace と Splunk を単一インスタンスの連携モードで連携するには:
単一インスタンスの連携スキームでは、Kaspersky CyberTrace と Splunk インスタンスは同じコンピューターまたは別々のコンピューターにインストールされます。既定の構成では、Kaspersky CyberTrace App for Splunk は Kaspersky CyberTrace と同じコンピューターにインストールされます。しかしながら、Kaspersky CyberTrace を別のコンピューターにインストールすることを推奨します。別のコンピューターにインストールする場合、インストール中に Kaspersky CyberTrace サービスを構成し、ステップ 2(以下参照)に従って Kaspersky CyberTrace App for Splunk を構成する必要があります。
このステップは任意です。このステップを省略すると、Kaspersky CyberTrace App for Splunk には既定の構成が使用されます。既定の構成では、電子メールのアラートは送信されません。
既定では、Kaspersky CyberTrace App for Splunk はポート 9999 を使用して Kaspersky CyberTrace にイベントを送信し、ポート 9998 を使用して Kaspersky CyberTrace からイベントを受信します。これらのポートが別のアプリケーションで使用されている場合、Kaspersky CyberTrace App for Splunk またはポートを使用しているアプリケーションのいずれかを、別のポートを使用するように構成する必要があります。
このステップは任意です。このステップを省略すると、ルックアップスクリプトには既定の構成が使用されます。
マッチングプロセスの設定を編集する前に、必ず検証テストを実行してください。
分散型連携モードで Splunk と連携する方法
Kaspersky CyberTrace と Splunk を分散型連携モードで連携するには:
分散型デプロイメントスキームでは、Kaspersky CyberTrace を Forwarder または Indexer が既にインストールされている任意のコンピューターにインストールすることも、別のコンピューターにインストールすることもできます。
また、インストール中に Kaspersky CyberTrace サービスを構成する必要がありますが、その際、Splunk エンティティ(Forwarder、Indexer など)からイベントを受信し、Kaspersky CyberTrace App for Splunk によって使用されるインデックスを保存する Indexer に自身のイベントを送信するように Kaspersky CyberTrace サービスを構成します。
このステップは任意です。このステップを省略すると、ルックアップスクリプトには既定の構成が使用されます。
マッチングプロセスの設定を編集する前に、必ず検証テストを実行してください。