単一インスタンスの連携スキームについて
既定では、Kaspersky CyberTrace サービスと Kaspersky CyberTrace App はどちらも、以下の連携スキームを使用します。このスキームは単一インスタンスの連携スキームです。
アプリとサービスについて
単一インスタンスの連携スキームでは 1 つのアプリと 1 つのサービスが使用されます:
- Kaspersky CyberTrace サービス
このサービスは Splunk イベントを Kaspersky Threat Data Feeds と照合します。
Kaspersky CyberTrace サービスは結果アラートを Splunk に送信します。Splunk は Kaspersky CyberTrace サービスから受信したアラートを
mainインデックスに保存します。 - Kaspersky CyberTrace App
このアプリには、Kaspersky CyberTrace App ダッシュボード、アラートテンプレート、ルックアップスクリプトが付属します。Kaspersky CyberTrace サービスイベントの解析ルール、および Splunk から Kaspersky CyberTrace サービスにイベントを転送するためのルールも用意されています。
単一インスタンスの連携スキーム
単一インスタンスの連携スキームでは、Splunk アプリと Kaspersky CyberTrace サービスは、既定では同じコンピューターで実行されます(IP アドレスは 127.0.0.1)。Kaspersky CyberTrace App は入力データをポート 3000 で受信し、ポート 9999 で Kaspersky CyberTrace サービスに転送します。次に Kaspersky CyberTrace サービスは、一致したデータをポート 9998 で Kaspersky CyberTrace App に戻します。
Kaspersky CyberTrace サービスを別のコンピューターにインストールする場合、Kaspersky CyberTrace のインストール中に、Kaspersky CyberTrace サービスと Kaspersky CyberTrace App が使用するアドレスとポートを指定する必要があります。
単一インスタンスの連携スキーム
イベント形式
既定では、Kaspersky CyberTrace App と Kaspersky CyberTrace サービスは特定の形式でイベントを受信します:
- Kaspersky CyberTrace サービスは、設定情報ファイルの正規表現を使用してイベントを解析します。これらの正規表現は、Kaspersky CyberTrace Web の[Settings]→[Matching]タブで参照および構成できます。これらの正規表現は、特定の形式のインバウンドデータを解析します。たとえば、URL の既定の正規表現は、プロトコル(
http://、https://など)を含む文字列と一致します。お使いのデバイスから受信するイベントの URL にプロトコルが含まれない場合、正規表現を変更する必要があります。 - Kaspersky CyberTrace App に付属するルックアップスクリプトは、Kaspersky CyberTrace サービスが使用する正規表現と一致する形式でイベントを Kaspersky CyberTrace サービスに送信します。正規表現を変更した場合、新しい正規表現と一致する形式を使用するようにルックアップスクリプトを編集します。