コンテンツにスキップ

機能概要🔗

以下は、Secureworks® Taegis™ XDR のインテグレーションおよび構成機能の概要です。どの データソース が互換性を持ち、それらのソースからどのデータが XDR 検知機および Watchlist で利用・必要とされるかをまとめています。

ヒント

データインテグレーションの理解を深め、脅威検出の効果的なカバレッジにどのように役立つかを学ぶために、ビデオシリーズをご覧ください。このトレーニングでは、Taegis XDR 内のデータがどのようにパース・正規化されてスキーマ化され、下記の検知機にデータが供給されるかを解説しています: トレーニング: XDRデータの理解

地域🔗

注意

XDR の機能の利用可否は、お客様の環境が展開されているリージョンによって異なります。

検知機の入力🔗

以下は、各 Taegis 検知機 が必要とするデータソースまたはスキーマの一覧です:

データ保持ポリシー🔗

Secureworksは、イベントおよび検出データをデータ受領日から12か月間保持します。その他のデータに関する事項については、Secureworks Cloud Services Interface プライバシーステートメントをご参照ください。

インテグレーションから提供されるデータ🔗

提供されるデータは、正規化されたデータ汎用的な検知ベンダー固有の検知 に分類されます。

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

クラウド🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Amazon GuardDuty     Thirdparty
AWS Application Load Balancer   HTTP  
AWS CloudTrail     Auth, CloudAudit
Amazon S3サーバーアクセスログ HTTP   HTTP
AWS VPCフローログ   Netflow  
AWS Web Application Firewall   HTTP HTTP
Box Auth, CloudAudit, Thirdparty    
Cisco Umbrella   DNS、HTTP、Netflow  
Google Cloud Platform CloudAudit Netflow Thirdparty
Google Workspace   Auth, HTTP Auth, CloudAudit, Thirdparty
MS Azure Active Directory Auth, CloudAudit    
MS Azure Active Directory アクティビティレポート   Auth CloudAudit
MS Azure Active Directory Identity Protection     CloudAudit, Thirdparty
MS Azure アクティビティログ     CloudAudit
MS Azure Firewall   DNS、HTTP、Netflow  
MS Azure Flow Logs   Netflow  
MS Azure WAF on Application Gateway   HTTP  
MS Azure WAF on Front Door   HTTP  
MS Graph Security API v1     CloudAudit, Thirdparty
MS Graph Security API v2     Antivirus, CloudAudit, Email, Thirdparty
MS Office 365   Auth Auth, CloudAudit, Email, Thirdparty
Oracle Cloud Infrastructure (OCI) CloudAudit HTTP, Netflow NIDS, Thirdparty
Salesforce Real-Time Event Monitoring Auth, CloudAudit, HTTP, Thirdparty Thirdparty

Emailセキュリティ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Abnormal Inbound Email Security Email    
Check Point Harmony Email Security Email, Thirdparty    
Mimecast   HTTP Email
Proofpoint   HTTP Email

エンドポイント🔗

  検出 Auth DNS ファイル収集 HTTP NIDS Netflow Process ファイル変更 API Call Registry Scriptblock Management Persistence Thread Injection 発見事項 テクニック発見事項 Generic
Sophos Windows Endpoint Agent              
Sophos Linux Endpoint Agent                    
Taegis Windows エンドポイントエージェント            
Taegis macOS エンドポイントエージェント                      
Taegis Linux Endpoint Agent                    
Red Cloak Windows Endpoint Agent                    
Red Cloak Linux Endpoint Agent                          
VMware Carbon Black Response Cloud                            
VMware Carbon Black Cloud Endpoint™ Standard                  
VMware Carbon Black Cloud Enterprise EDR                  
CrowdStrike          
Microsoft Defender for Endpoint       * * *    
SentinelOne          
EDR OCSF取り込み                    

注意

エンドポイントの表は、今後のリリースで新しいインテグレーション定義に更新される予定です。

ファイアウォール/次世代ファイアウォール🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Barracuda Firewall   Netflow  
Check Point Firewall Email Auth、HTTP、Netflow Antivirus、Thirdparty
Cisco ASA Firewall DHCP、Managementevent Auth、DNS、HTTP、Netflow NIDS
Cisco FTD Firewall (Syslogのみ、NIDSについてはeStreamer経由のeNCoreを参照) DHCP、Managementevent Auth、DNS、HTTP、Netflow NIDS
Cisco Meraki Firewall ファイル Auth、HTTP、Netflow NIDS
Forecepoint Firewall DHCP Auth, HTTP, Netflow Thirdparty
Fortigate Firewall Email Auth、DNS、HTTP、Netflow Antivirus、Thirdparty
Juniper SRX Firewall ファイル Auth, HTTP, Netflow NIDS
OPNsense Firewall Netflow
Palo Alto Firewall Auth, HTTP, Netflow NIDS
pfSense Firewall Netflow
SonicWall Firewall DHCP Auth, DNS, HTTP, Netflow NIDS
Sophos XGS Firewall Antivirus, DHCP, Managementevent Auth, HTTP, Netflow Email, NIDS
WatchGuard Firewall Auth DNS, HTTP, Netflow
Zscaler Cloud Firewall DNS、Netflow

ホスト型侵入検知システム🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
McAfee ePO Antivirus、Auth、Thirdparty Process
Symantec Endpoint Protection Antivirus、NIDS
Trend Micro Deep Security Filemod, NIDS, Thirdparty HTTP, Netflow Antivirus

IDとアクセス管理🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cisco Duo Auth
Cisco ISE Process Auth
CyberArk CloudAudit Auth Thirdparty
Okta CloudAudit Auth

インフラストラクチャ管理🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
vCenter 管理 Auth

マイクロセグメンテーションソフトウェア🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai Guardicore Segmentation Thirdparty Netflow, Process

ネットワーク型侵入検知システム🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Taegis NDR Netflow、NIDS NIDS
Corelight (Zeek) DHCP Auth, DNS, Encrypt, HTTP, Netflow, 検出 検出
Darktrace Thirdparty
eStreamer via eNCore Netflow, NIDS NIDS
LastLine Auth NIDS
Suricata DNS、HTTP、Netflow、NIDS NIDS

OTセキュリティ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Claroty CTD Netflow Thirdparty
Dragos Platform Netflow Thirdparty
Nozomi Guardian Thirdparty
SCADAfence Thirdparty Netflow, NIDS

重要

OTセキュリティインテグレーションをXDRテナントに追加するには、XDR for OT が必要です。必要なライセンスの取得については、アカウントマネージャーまたはCSMにお問い合わせください。

セキュリティサービスエッジ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cato Networks Antivirus、Auth、DHCP、Thirdparty Netflow
Cloudflare CloudAudit、NIDS、Thirdparty DNS、HTTP、Netflow
Netskope Auth HTTP、Netflow Antivirus、NIDS、Thirdparty
Palo Alto Prisma Access Auth, HTTP, Netflow NIDS

サーバーログ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
InfoBlox(namedプロセス経由のDNS) DNS
Microsoft Windows Event Log (Microsoft-Windows-Security-Auditing) File, Management, Process, Thirdparty Auth, Netflow
Microsoft DHCP DHCP
Microsoft DNS DNS
Microsoft IIS HTTP
非Microsoftベースのサーバー(sudo/su/sshd/namedなどのプロセス) Management Auth, DNS

VPNアプライアンス🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
PulseSecure VPN Auth

ウェブアプリケーションファイアウォール/ロードバランサー🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai App & API Protector Thirdparty HTTP
F5 ASM WAF HTTP
F5 LTM* Management Auth
Barracuda WAF HTTP
Fortinet FortiWeb Netflow Thirdparty
Imperva WAF HTTP
Imperva Cloud WAF CloudAudit, Thirdparty Auth
Citrix ADC 管理 Auth, HTTP, Netflow

ウェブプロキシ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai Enterprise Application Access (EAA) Auth, HTTP
Forcepoint Web Security HTTP
Cisco IronPort Auth HTTP
Skyhigh Secure Web Gateway HTTP
Symantec (Blue Coat) ProxySG WebProxy HTTP
Zscaler Secure Web Gateway HTTP Thirdparty

その他のネットワークアプライアンス🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cisco IOSベースのスイッチおよびルーター Management Auth
Aruba ClearPass NAC Auth

その他のインテグレーション🔗

HRMS & ID🔗

Azure Active Directory🔗

サポートされている機能:

  • ADアカウントの有効化/無効化
  • パスワード変更の強制
  • ログイン履歴

インテグレーション方法

Microsoft Graph API を実装しています。

互換性のある検知機

Stolen Credentials、および Tactic Graphs™ Detector。

SIEM/セキュリティ🔗

Splunk Heavy Forwarder🔗

Splunk の Heavy Forwarder から送信されたすべてのデータを XDR に複製します。

インテグレーション方法

XDR は、TLS暗号化されたSyslogインジェスターを通じてSplunk Heavy Forwarderからデータを受信するように構成されます。XDR の技術担当者が、適切なTLS証明書の発行をサポートします。証明書が発行されたら、Splunk Heavy Forwarder を XDR へデータ送信するように構成できます。これには、Splunk Heavy Forwarder の output.conf ファイルの更新が含まれます。

注意

XDR でサポートされているインテグレーションの転送データタイプのみサポートしています。

互換性のある検知機

すべての XDR 検知機がSplunk提供データを利用可能です。利用はお客様の構成およびSplunkが転送するデータに依存します。

境界/プロキシ🔗

NDR🔗

NDR はSecureworksが提供するネットワークIDS/IPSです。最新の脅威インテリジェンスを活用し、境界でネットワークレベルの脅威シグネチャを検出します。NDR は、Secureworks® Taegis™ MDR に含まれる場合がある、別契約の機能です。

サポートされている機能

  • インラインおよびパッシブのディープパケットインスペクション
  • TDR脅威インテリジェンスとのインテグレーション
  • ネットワーク上のデバイスのブロック

互換性のある検知機

DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。

Palo Alto Networks🔗

XDR’s On-Premises Data Collector を使用して、PANデバイスからNetFlowデータを取得します。

サポートされている機能

  • Netflowキャプチャ
  • TDR脅威インテリジェンスとのインテグレーション

サポートされているデバイス

  • Palo Alto Firewall PANOS 6.1 - 7.0 - 7.1
  • Panorama 6.1 - 6.7(Wildfire Security Logs含む)
  • Palo Alto Firewall PANOS 8.0 - 9.x - 10.0
  • Panorama 8.0 - 9.0 - 9.1

インテグレーション方法

Palo Alto からのSyslog情報は XDR Collector を使用して収集します。詳細は オンプレミスデータコレクター をご参照ください。

互換性のある検知機

DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。

Cisco🔗

サポートされている機能

  • WAF機能
  • Netflowキャプチャ
  • TDR脅威インテリジェンスとのインテグレーション

サポートされているデバイス

  • Cisco ASA
  • Cisco FTD
  • Cisco Meraki

インテグレーション方法

Cisco からのSyslog情報は XDR Collector を使用して収集し、FTDデバイスからのセキュリティイベント/ログはeStreamerを利用して収集します。詳細は オンプレミスデータコレクター をご参照ください。

互換性のある検知機

DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。

クラウドアプリケーション🔗

Office 365 / Azure🔗

サポートされている機能

  • Office 365監査ログデータ(サービスへのログイン、アカウント変更、送受信メールのメタデータ)。このデータを正規化されたauth型に正規化。これらのサービス全体のログインを抽出し、異常検知機に供給します。遠隔地からのアクセスなどの挙動を検出。
  • XDR のインテグレーションは、Microsoft Graph Security Alertsをサポートするコレクターを利用します。これらは、Palo Altoなどのサードパーティパートナーを含むすべてのMicrosoft製品で生成されるアラートです。
  • Azure AD監査ログ。

互換性のある検知機

Stolen Credentials、および Tactic Graphs Detector。

Amazon Web Services🔗

AWSインテグレーションは、GuardDuty Findingsをサポートするカスタム開発のAWSコレクターを利用し、検出結果をインポートしてユーザーに表示します。現時点ではCloudwatchやCloudwatch Agentはサポートしていません。

また、AWS Application Load Balancers、AWS CloudTrail、AWS VPC Flow logs、AWS WAFをサポートするカスタムサーバーレスコレクターによるデータ収集もサポートしています。さらに、AWSに展開されたCisco Umbrellaサービスとのインテグレーションもサポートしています。

互換性のある検知機

Stolen Credentials、および Tactic Graphs Detector。

エンドポイント🔗

Red Cloak Endpoint Agent🔗

Secureworks Red Cloak™ Endpoint Agent は XDR に含まれています。このエージェントは、エンドポイントからDNS、IP、プロセス、Windowsログ、Linuxログなどの豊富なテレメトリーを収集します。

互換性のある検知機

XDR 独自のすべての検知機が Red Cloak Endpoint Agent テレメトリーを利用します: DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。

CrowdStrike🔗

CrowdStrikeエージェントは、エンドポイントからDNS、IP、プロセス、Windowsログ、Linuxログなどの豊富なテレメトリーを収集します。

注意

CrowdStrike Falcon Prevent (NGAV) からのテレメトリーを XDR で受信するには、CrowdStrike Falcon Insight (EDR) が必要です。Falcon Insight が収集したテレメトリーが XDR に送信されます。Falcon Insight のライセンスは Secureworks または CrowdStrike から購入できます。

Falcon Prevent (NGAV) は検知のみを提供するため、CrowdStrike Falcon Prevent (NGAV) のみをお持ちの場合、XDR にはテレメトリーが送信されません。

互換性のある検知機

XDR 独自のすべての検知機がCrowdStrikeデータを利用します。DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。

VMware Carbon Black Cloud Endpoint Standard and Enterprise EDR🔗

Carbon Black の従来型AVサービス。XDR は Carbon Black テレメトリーにアクセスでき、このサービスでエンドポイント検知・対応(EDR)機能を実現します。XDR と統合されています。

Carbon Black Response Cloud🔗

Carbon Black のエンドポイント検知・対応(EDR)サービス。このサービスでEDR機能を実現するためのCarbon Blackテレメトリーにアクセスできます。

Okta🔗

このインテグレーションにより、Okta APIを通じてOktaから直接ユーザー情報テレメトリーを受信することで、XDR のセキュリティ知識ベースがさらに強化されます。

Oktaコネクターを利用し、認証イベント、ポリシー変更、ユーザー管理リストに関連する情報が直接 XDR プラットフォームに供給され、ケース対応時のアナリストへのインサイトをさらに提供します。