レトロスキャンの設定

Kaspersky CyberTrace を使用すると、未検知のインジケーターを含む可能性のあるイベントを保存し、更新されたフィードからのインジケーターに従ってこれらのイベントのレトロスキャンを実行して、レトロスキャンの結果を表示できます。このセクションでは、レトロスキャンを使用するために Kaspersky CyberTrace を構成する方法について説明します。

イベントは完全には保存されず、レトロスキャンで使用するために選択されたフィールドのみが保存されます。

［Retrospective scan］タブを使用すると、次の操作を実行できます：

レトロスキャンを有効または無効にする。
保存したイベントの現在のサイズを表示する。
保存したイベントを削除する。
レトロスキャンの進行中、保存したイベントを削除することはできません。レトロスキャンを無効にし、保存したイベントを削除するには、現在のレトロスキャンタスクが終了するまで待機する必要があります。
［Retrospective scan］タブ
［General settings］タブで、次の設定を管理します：
- スケジュールされたレトロスキャンタスクの頻度を設定するか、スケジュールされたスキャンを無効にします。［Every month］が選択されている場合、レトロスキャンは 30 日ごとに開始されます。
- レトロスキャン用として保存する必要があるイベントのサイズ制限を有効または無効にします。
- レトロスキャン用として保存する必要があるイベントの最大サイズ（GB 単位）を設定します。
- レトロスキャン用として使用したイベントを保存する必要がある期間（日単位）を設定します。
- レトロスキャンの結果を保存する必要がある期間（日単位）を設定します。
［General settings］タブ
［Feeds used in retroscan］タブで、レトロスキャンで使用する必要があるフィードを有効または無効にします。
［Feeds used in retroscan］タブ
［Fields saved for retroscan］タブで、次の設定を構成します：
- レトロスキャンで使用する特定のテナントに関連するイベントの保存を有効または無効にします。
  レトロスキャンからテナントを除外すると、このテナントに含まれる正規表現を選択できなくなります。
- レトロスキャンで使用するテナントに含まれる正規表現を選択します。
  少なくとも 1 つの正規表現を選択する必要があります。
［Fields saved for retroscan］タブ

レトロスキャンの設定に関する推奨事項

レトロスキャンはリソースを大量に消費する機能であり、大量のデータをチェックする場合には長時間かかる場合があります。すべての受信イベントのインジケーターを検索せずにレトロスキャンをより効率的に使用するには、レトロスキャンされるイベントを個別のイベントソースに抽出することを推奨します。

レトロスキャンのソースを追加するには：

［Settings］→［Matching］タブで、［Add new event source］をクリックします。
イベントを特定する正規表現を追加します（たとえば、Syslog メッセージ形式の場合は ^\<d+\>.*$ など）。
［Next］をクリックします。
新しく追加したソースのプロパティを示すウィンドウが表示されます。
［Regular expressions］タブで、このソースから取得されるインジケーターのタイプを追加します。
このソースおよびインジケータータイプに、一般的なルール名を設定します（例：RE_IP_NEW_SIEM）。
さまざまなイベントソースの正規表現については、「主要なイベントソースに対応する正規表現」を参照してください。
［OK］をクリックして、新しいソースが正常に追加されたことを確認します。
［Settings］→［Retroscan］に移動して、［ Fields saved for retroscan］タブを選択します。
レトロスキャンに必要なソースとその正規表現のみを有効にします。
変更内容を保存します。

レトロスキャンに関連するサービスアラート

Kaspersky CyberTrace は、レトロスキャンプロセスについて通知するために、次のサービスアラートを生成します：

KL_ALERT_RetroScanCompleted
KL_ALERT_RetroScanError
KL_ALERT_RetroScanStorageExceeded

上記のアラートの詳細については、「 Kaspersky CyberTrace によって送信されるアラートイベント」セクションを参照してください。

ページのトップに戻る