このセクションでは、Kaspersky CyberTrace のインスタンスを高可用性モードで使用するために構成する方法について説明します。
Kaspersky CyberTrace を高可用性モードで使用するには、Kaspersky CyberTrace のすべてのインスタンスを次のように構成します:
手動で追加したコンテキストフィールド、および Kaspersky CyberTrace Web または REST API を使用して追加された FalsePositive インジケーターおよび InternalTI 脅威インジケーターが、すべての Kaspersky CyberTrace インスタンスで同一である必要があります。
Balancer からの受信イベントをマッチングするための正規表現
インジケータータイプ |
ルール名 |
Regular expression |
---|---|---|
|
|
|
正規表現には許可されている任意の名前を使用できますが、次の構成ステップでは同じ正規表現名を使用するよう徹底してください。
既定のイベントソースで正規表現を指定することも、新しい正規表現を作成することもできます。
各イベントは、REQ
正規表現によって受信イベントから抽出された値から始まる必要があります。たとえば、%REQ% category=%Category% %RecordContext%
のようにします。
systemctl stop cybertrace.service
(Linux の場合)sc stop cybertrace
(Windows の場合)Kaspersky CyberTrace サービス設定情報ファイルの
[OutputSettings]→[FinishedEventFormat]要素内で、次のように情報イベントの形式を指定します:<FinishedEventFormat enabled="true">%REQ% LookupFinished</FinishedEventFormat>
これらのイベントは内部使用専用です。これらは SIEM に送信されません。
systemctl start cybertrace.service
(Linux の場合)sc start cybertrace
(Windows の場合)必要に応じて、[Settings]→[Service]タブの[Connection settings]セクションで、Balancer にアラートイベントを送信するための接続設定を指定します。ファイル kl_balancer.conf
内の次のパラメータを使用します:
Balancer
]要素に指定されている IP アドレスBalancer
]要素の cybertrace_port
パラメータに指定されているポートアラートイベントは SIEM に直接送信できます。
検知イベントを送信するための設定は、高可用性モードでは使用されません。Balancer はイベントマッチングの結果を ReplyBack モードで受信するためです。
ページのトップに戻る