ログコレクターエージェント
KYRA MDRログコレクターエージェントは、プライベートネットワーク環境からセキュリティテレメトリを安全に収集・転送する必要がある組織向けに設計された軽量オンプレミスエージェントです。
課題
エンタープライズおよび規制対象の顧客(防衛請負業者、医療機関、金融機関)は、ファイアウォール保護下またはエアギャップ環境で運用しており:
- 生ログをクラウドに直接転送できない
- クラウドからのインバウンドポートを開放できない
- 生のセキュリティテレメトリは送出前にフィルタリングが必要
ログコレクターは、顧客のネットワーク内で安全なプロキシとして動作し、プラットフォームが必要とするデータのみを収集、フィルタリング、正規化、転送することでこの課題を解決します。
主な機能
- 軽量フットプリント: 最小限のリソース使用量でシングルバイナリデプロイ(アイドル時約30 MB RAM)
- 安全な転送: 相互TLS認証によるアウトバウンド専用HTTPS接続
- 複数データソース: ファイアウォール、EDRエージェント、syslogソース、Windowsイベントログ、ファイルベースログからの収集
- スマートフィルタリング: PIIマスキング、フィールドレベルの秘匿化、設定可能なフィルタリングルール
- ディスクバッファリング: ネットワーク中断時のデータ損失を防ぐローカルバッファ
- 自動リカバリ: バックプレッシャー処理を備えた自動再接続とリトライ
- ゼロコピーパーシング: 最小限のメモリ割り当てによる高性能ログパーシング
対応データソース
| ソースタイプ | 入力方法 | 例 |
|---|---|---|
| Syslog | TCP/UDPリスナー | ファイアウォール、ルーター、Linuxシステム |
| Windowsイベント | Windows Event Log API | Security、System、Applicationチャネル |
| EDR | チャネルサブスクリプション | CrowdStrike、SentinelOne、Microsoft Defender |
| ファイルベース | ファイル監視 | アプリケーションログ、監査証跡 |
| ネットワークトラフィック | TAP/SPANインターフェース | NDR機能を参照 |
デプロイメント
システム要件
| 要件 | 最小 | 推奨 |
|---|---|---|
| CPU | 2コア | 4コア |
| RAM | 256 MB | 512 MB |
| ディスク | 1 GB(バッファ) | 10 GB(バッファ) |
| OS | Linux(x86_64、ARM64)、Windows Server 2016以降 | Linux推奨 |
| ネットワーク | アウトバウンドHTTPS(ポート443) | 専用ネットワークインターフェース |
インストール
コレクターは対話型インストーラー付きのシングルバイナリとして配布されます:
- プラットフォーム用のコレクターバイナリをダウンロード
- インストーラーウィザードを実行 — ゲートウェイURLとライセンスキーを入力
- データソースを設定(syslog、Windowsイベント、EDRチャネル、ファイルパス)
- インストーラーがTLS証明書をプロビジョニングし、サービスを設定して収集を開始
設定
コレクターは以下のセクションを含むYAML設定ファイルを使用します:
- Gateway: プラットフォームエンドポイントURLと認証情報
- Inputs: データソース定義(syslogリスナー、Windowsチャネル、ファイルパス)
- Filters: PIIマスキングルール、フィールド秘匿化、イベントフィルタリング
- Buffer: ローカルディスクバッファサイズと保持設定
- Transport: 接続パラメータ、リトライポリシー、圧縮設定
セキュリティ
- アウトバウンド専用: インバウンドポート不要 — コレクターがすべての接続を開始
- 相互TLS: コレクターとプラットフォーム間の証明書ベース認証
- PII保護: データがネットワークを離れる前の機密フィールドの設定可能なマスキングと秘匿化
- 整合性検証: 改ざん検出のための元の生ログの暗号化ハッシュ
- 自動更新: 署名検証を備えた安全な更新メカニズム
クォータとバックプレッシャー
コレクターはクォータを認識し、テナントの取り込みクォータに基づいて動作を調整します:
| 使用レベル | コレクターの動作 |
|---|---|
| クォータの75%未満 | フル送信レート |
| 75%〜90% | 送信レート低減 |
| 90%〜100% | クリティカルイベントのみ |
| クォータ超過(ハードキャップ) | ローカルバッファリング、送信停止 |
| クォータ超過(超過OK) | レート低減、超過課金適用 |
コレクターは、クォータ制御中またはネットワーク中断時にイベントをローカルにバッファリングし、容量が利用可能になると自動的に転送を再開します。
管理
プラットフォームは、デプロイ済みコレクターのリモート管理機能を提供します:
- ヘルスモニタリング: リアルタイムステータスレポート(正常、劣化、オフライン)
- リモート設定: 手動アクセスなしで設定更新をプッシュ
- 診断: トラブルシューティングのためにコレクターから診断データを要求
- フリート概要: ステータスとメトリクスを含む、デプロイ済みコレクター全体のダッシュボードビュー