このセクションでは、Kaspersky CyberTrace App for QRadar のインストール方法について説明します。
システム管理者ロールを持つユーザーアカウントのみが Kaspersky CyberTrace App for QRadar を管理できます。
Kaspersky CyberTrace App for QRadar の取得
Kaspersky CyberTrace App for QRadar のインストールパッケージは、テクニカルアカウントマネージャー(TAM)から取得できます。
Kaspersky CyberTrace App for QRadar のインストール
Kaspersky CyberTrace App for QRadar をインストールするには:
[Extensions Management]フォーム
加えられる変更のリストが表示されます。具体的には、追加されるカスタムイベントプロパティが表示されます。
追加されるカスタムイベントプロパティ
アプリがインストールされると、以下のカスタムイベントプロパティが追加されます:
url
feed
geo
hash
files
first_seen
last_seen
mask
popularity
threat
whois
URL
SHA1 Hash
SHA256 Hash
MD5 Hash
ip
records_count
これらのプロパティは、追加したカスタムイベントプロパティのインデックスを有効化したり、ログソースタイプを指定したりするために使用されます。
Kaspersky CyberTrace App for QRadar を使用する場合、カスタムイベントプロパティの取得時に QRadar に追加されたフィールドを削除できます。これらのフィールドは、Kaspersky CyberTrace App for QRadar で使用されるフィールドと重複しています。Kaspersky CyberTrace App for QRadar のインストール中に追加されたフィールドを代わりに削除すると、アプリケーションが適切に機能しない可能性があります。
インストール後、Kaspersky Threat Feed App が[Extensions Management]フォームに表示されます。
Kaspersky CyberTrace App for QRadar がインストールされると、QRadar Console にアプリ名(Kaspersky Data Feeds)がタブとして表示されます。
[Kaspersky Data Feeds]タブ
[Configuration required]フォームが表示されます。
[Configuration required]フォーム
既存のトークンを指定するか、新しいトークンを作成します。
指定したトークンの有効期限が切れている場合、[Kaspersky Data Feeds]を次に選択した時に、[Configuration required]フォームが再び表示されます。その場合は、新しいトークンを指定する必要があります。
Kaspersky Threat Feed App が QRadar コンピューターにインストールされていても、IP アドレス 127.0.0.1
を指定することはできません。代わりに、QRadar コンピューターの外部 IP アドレスを指定します。
この名前は、QRadar Console で[Admin]→[Log Sources]の順に選択すると開くウィンドウの[Name]列に表示されています。例:KL_Threat_Feed_Service_v2
。
ログソースの指定に関する詳細は、「Kaspersky CyberTrace App for QRadar の構成」セクションを参照してください。