既定では、Kaspersky CyberTrace サービスと Kaspersky CyberTrace App はどちらも、以下の連携スキームを使用します。このスキームは単一インスタンスの連携スキームです。
アプリとサービスについて
単一インスタンスの連携スキームでは 1 つのアプリと 1 つのサービスが使用されます:
このサービスは Splunk イベントを Kaspersky Threat Data Feeds と照合します。
Kaspersky CyberTrace サービスは結果イベントを Splunk に送信します。Splunk は Kaspersky CyberTrace サービスから受信したイベントを main
インデックスに保存します。
このアプリには、Kaspersky CyberTrace App ダッシュボード、アラートテンプレート、ルックアップスクリプトが付属します。Kaspersky CyberTrace サービスイベントの解析ルール、および Splunk から Kaspersky CyberTrace サービスにイベントを転送するためのルールも用意されています。
単一インスタンスの連携スキーム
単一インスタンスの連携スキームでは、Splunk アプリと Kaspersky CyberTrace サービスは、既定では同じコンピューターで実行されます(IP アドレスは 127.0.0.1
)。Kaspersky CyberTrace App は入力データをポート 3000
で受信し、ポート 9999
で Kaspersky CyberTrace サービスに転送します。次に Kaspersky CyberTrace サービスは、一致したデータをポート 9998
で Kaspersky CyberTrace App に戻します。
Kaspersky CyberTrace サービスを別のコンピューターにインストールする場合、Kaspersky CyberTrace のインストール中に、Kaspersky CyberTrace サービスと Kaspersky CyberTrace App が使用するアドレスとポートを指定する必要があります。
単一インスタンスの連携スキーム
イベント形式
既定では、Kaspersky CyberTrace App と Kaspersky CyberTrace サービスは特定の形式でイベントを受信します:
http://
、https://
など)を含む文字列と一致します。お使いのデバイスから受信するイベントの URL にプロトコルが含まれない場合、正規表現を変更する必要があります。