Kaspersky CyberTrace では、分散型の Splunk 環境がサポートされます。分散型 Splunk 環境での連携スキームは、分散型連携スキームと呼ばれます。
分散型連携スキームで使用されるアプリとサービスについて
分散型連携スキームでは、Kaspersky CyberTrace は以下の 2 つのアプリと 1 つのサービスに分類されます:
このサービスは Splunk イベントを Kaspersky Threat Data Feeds と照合します。
Kaspersky CyberTrace サービスは、Kaspersky CyberTrace から受信したイベントとインデックスを保持する単一の Indexer に結果イベントを送信します。
このサービスは、別のコンピューターにインストールできます。
このアプリには、Kaspersky CyberTrace App ダッシュボード、アラートテンプレート、ルックアップスクリプトが付属します。
このアプリは Splunk インスタンスにインストールされます。インストールされた Splunk インスタンスはサーチヘッドとして機能し、Kaspersky CyberTrace から受信したイベントとインデックスを保持する Indexer に検索リクエストを送信します。
このアプリには、Splunk から Kaspersky CyberTrace サービスにイベントを転送するためのルールが付属します。Kaspersky CyberTrace サービスからイベントも受信します。
このアプリは Splunk インスタンスにインストールされ、インストールされた Splunk インスタンスは Kaspersky CyberTrace サービスにイベントを転送します。
Kaspersky CyberTrace App Forwarder は、お使いの分散型連携スキームで使用されている Splunk Forwarder の種別に応じて、次の 2 つのアプリに分類されます:
連携スキームのバリアントについて
分散型連携スキームの以下のバリアントは、Kaspersky CyberTrace とお使いの分散型 Splunk 環境を連携するための一般的なアプローチを示しています。お使いの分散型 Splunk 環境がどのように構成されているかによって、これらのバリアントを変更する、または組み合わせることが必要な場合があります。
単一 Indexer と複数 Forwarder のバリアント
単一 Indexer と複数 Forwarder
単一 Indexer と複数 Forwarder のバリアントでは、複数の Heavy Forwarder または Universal Forwarder がイベントを受信し、Kaspersky CyberTrace サービスにイベントを直接転送します。これらの Forwarder は、(それぞれの種別の)Forwarder App を使用する必要があります。Forwarder の 1 つが Kaspersky CyberTrace サービスから一致データを受信します。Forwarder は一致データを Indexer に送信し、Indexer は、Kaspersky CyberTrace for Splunk Search Head App が使用する main インデックスにその一致データを保管します。
複数 Indexer と複数 Forwarder のバリアント
複数 Indexer と複数 Forwarder のバリアントでは、複数の Heavy Forwarder または Universal Forwarder がイベントを受信し、Kaspersky CyberTrace サービスにイベントを直接転送します。これらの Forwarder は、(それぞれの種別の)Forwarder App を使用する必要があります。Forwarder の 1 つが Kaspersky CyberTrace サービスから一致データを受信します。Forwarder は一致データを Indexer に送信し、各 Indexer は、Kaspersky CyberTrace App が使用する main インデックスにその一致データを保管します。
既定のポートとアドレス
既定では、Forwarder App と Kaspersky CyberTrace サービスは、イベントの転送と一致データの受信に特定のアドレスとポートを使用するように構成されています。お使いの分散型 Splunk 環境の構成に基づき、これらのアドレスとポートを変更する必要があります。
Forwarder App と Kaspersky CyberTrace サービスが使用する既定のアドレスとポートを変更する必要があります。
既定では、Forwarder App は以下のように動作します:
:3000
ポートでイベントを受信します。:9998
ポートで Kaspersky CyberTrace からイベントを受信します。これらのイベントは main
インデックスに保管されます。127.0.0.1:9999
にイベントを転送します。既定では、Kaspersky CyberTrace サービスは以下のように動作します:
127.0.0.1:9999
でイベントを受信します。127.0.0.1:9998
に送信します。イベント形式
既定では、Kaspersky CyberTrace App と Kaspersky CyberTrace サービスは特定の形式でイベントを受信するように構成されています: