コンテンツにスキップ

機能概要🔗

以下は、Secureworks® Taegis™ XDR のインテグレーションおよび構成機能の概要です。どの データソース が互換性を持ち、それらのソースからどのデータが XDR 検知機および Watchlist で取り込めるか、または必要かをまとめています。

ヒント

データインテグレーションの理解を深め、脅威検知の効果的なカバレッジにどのように役立つかを学ぶために、ビデオシリーズをご覧ください。トレーニングでは、Taegis XDR 内のデータがどのようにパース・正規化されてスキーマ化され、下記の検知機にデータが供給されるかを解説しています: トレーニング: XDRデータの理解

地域🔗

注意

XDR の機能の利用可否は、お客様の環境が展開されているリージョンによって異なります。

検知機の入力🔗

以下は、各 Taegis 検知機 が必要とするデータソースまたはスキーマの一覧です:

データ保持ポリシー🔗

Secureworksは、イベントおよび検出データをデータ受領日から12か月間保持します。その他のデータに関する事項については、Secureworks Cloud Services Interface プライバシーステートメントをご参照ください。

インテグレーションから提供されるデータ🔗

提供されるデータは、正規化されたデータ、汎用的な検知、ベンダー固有の検知 に分類されます。

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

クラウド🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Amazon GuardDuty     Thirdparty
AWS Application Load Balancer   HTTP  
AWS CloudTrail     Auth, CloudAudit
Amazon S3サーバーアクセスログ HTTP   HTTP
AWS VPCフローログ   Netflow  
AWS Web Application Firewall   HTTP HTTP
Box Auth, CloudAudit, Thirdparty    
Cisco Umbrella   DNS、HTTP、Netflow  
Google Cloud Platform CloudAudit Netflow Thirdparty
Google Workspace   Auth, HTTP Auth, CloudAudit, Thirdparty
MS Azure Active Directory Auth, CloudAudit    
MS Azure Active Directory アクティビティレポート   Auth CloudAudit
MS Azure Active Directory Identity Protection     CloudAudit, Thirdparty
MS Azure アクティビティログ     CloudAudit
MS Azure Firewall   DNS, HTTP, Netflow  
MS Azure Flow Logs   Netflow  
MS Azure WAF on Application Gateway   HTTP  
MS Azure WAF on Front Door   HTTP  
MS Graph Security API Alerts v2     Antivirus, CloudAudit, Email, Thirdparty
MS Office 365   Auth Auth, CloudAudit, Email, Thirdparty
Oracle Cloud Infrastructure (OCI) CloudAudit HTTP, Netflow NIDS, Thirdparty
Salesforce Real-Time Event Monitoring Auth, CloudAudit, HTTP, Thirdparty Thirdparty

Emailセキュリティ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Abnormal Inbound Email Security Email    
Check Point Harmony Email Security Email, Thirdparty    
Mimecast   HTTP Email
Proofpoint   HTTP Email

エンドポイント🔗

エンドポイントのテーブルは横スクロールで全てのデータを確認できます。

  検出 Auth DNS ファイル収集 HTTP NIDS Netflow Process ファイル変更 API Call Registry Scriptblock Management Persistence Thread Injection 発見事項 テクニック発見事項 ソフトウェア情報 Generic
Sophos Windows Endpoint Agent                
Sophos Linux Endpoint Agent                        
Sophos macOS Endpoint Agent                            
Taegis Windows エンドポイントエージェント              
Taegis macOS エンドポイントエージェント                        
Taegis Linux エンドポイントエージェント                      
Red Cloak Windows Endpoint Agent                      
Red Cloak Linux Endpoint Agent                            
VMware Carbon Black Cloud Endpoint™ Standard                    
VMware Carbon Black Cloud Enterprise EDR                    
CrowdStrike          
Microsoft Defender       * * *      
SentinelOne            
EDR OCSF取り込み                      

* API Call、Registry、Thread InjectionはMicrosoft DefenderによってWindowsデバイスのみ収集されます。

注意

エンドポイントのテーブルは、今後のリリースで新しいインテグレーション定義に更新される予定です。

ファイアウォール/次世代ファイアウォール🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Barracuda Firewall   Netflow  
Check Point Firewall Email Auth, HTTP, Netflow Antivirus, Thirdparty
Cisco ASA Firewall DHCP、Managementevent Auth、DNS、HTTP、Netflow NIDS
Cisco FTD Firewall(Syslogのみ、NIDSについてはeNCore経由のeStreamerを参照) DHCP、Managementevent Auth、DNS、HTTP、Netflow NIDS
Cisco Meraki Firewall ファイル Auth, HTTP, Netflow NIDS
Forecepoint Firewall DHCP Auth, HTTP, Netflow Thirdparty
Fortigate Firewall Email Auth, DNS, HTTP, Netflow Antivirus, Thirdparty
Juniper SRX Firewall ファイル Auth, HTTP, Netflow NIDS
OPNsense Firewall Netflow
Palo Alto Firewall Auth, HTTP, Netflow NIDS
pfSense Firewall Netflow
SonicWall Firewall DHCP Auth, DNS, HTTP, Netflow NIDS
Sophos XGS Firewall Antivirus, DHCP, Managementevent Auth, HTTP, Netflow Email, NIDS
WatchGuard Firewall Auth DNS, HTTP, Netflow
Zscaler Cloud Firewall DNS、Netflow

ホスト型侵入検知システム🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
McAfee ePO Antivirus、Auth、Thirdparty Process
Symantec Endpoint Protection Antivirus, NIDS
Trend Micro Deep Security Filemod、NIDS、Thirdparty HTTP、Netflow Antivirus

IDとアクセス管理🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cisco Duo Auth
Cisco ISE Process Auth
CyberArk CloudAudit Auth Thirdparty
Delinea Secret Server CloudAudit, Generic Auth
Okta CloudAudit Auth

インフラストラクチャ管理🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
vCenter 管理 Auth

マイクロセグメンテーションソフトウェア🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai Guardicore Segmentation Thirdparty Netflow, Process

ネットワーク型侵入検知システム🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Taegis NDR Netflow, NIDS NIDS
Corelight (Zeek) DHCP Auth, DNS, Encrypt, HTTP, Netflow, 検出 検出
Darktrace Thirdparty
eStreamer via eNCore Netflow, NIDS NIDS
LastLine Auth NIDS
Suricata DNS、HTTP、Netflow、NIDS NIDS

OTセキュリティ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Claroty CTD Netflow Thirdparty
Dragos Platform Netflow Thirdparty
Nozomi Guardian Thirdparty
SCADAfence Thirdparty Netflow, NIDS

重要

OTセキュリティインテグレーションをXDRテナントに追加するには、XDR for OT が必要です。必要なライセンスの取得については、アカウントマネージャーまたはCSMにお問い合わせください。

セキュリティサービスエッジ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cato Networks Antivirus、Auth、DHCP、Thirdparty Netflow
Cloudflare CloudAudit, NIDS, Thirdparty DNS, HTTP, Netflow
Netskope Auth HTTP, Netflow Antivirus, NIDS, Thirdparty
Palo Alto Prisma Access Auth, HTTP, Netflow NIDS

サーバーログ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Infoblox (BloxOne Threat Defense Data Connector, CEF) DNS
Microsoft Windows Event Log (Microsoft-Windows-Security-Auditing) File, Management, Process, Thirdparty, CloudAudit Auth, Netflow
Microsoft DHCP DHCP
Microsoft DNS DNS
Microsoft IIS HTTP
非Microsoftベースのサーバー(sudo/su/sshd/namedなどのプロセス) Management Auth, DNS

VPNアプライアンス🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
PulseSecure VPN Auth

ウェブアプリケーションファイアウォール/ロードバランサー🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai App & API Protector Thirdparty HTTP
F5 ASM WAF HTTP
F5 LTM* Management Auth
Barracuda WAF HTTP
Fortinet FortiWeb Netflow Thirdparty
Imperva WAF HTTP
Imperva Cloud WAF CloudAudit, Thirdparty Auth
Citrix ADC 管理 Auth, HTTP, Netflow

ウェブプロキシ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai Enterprise Application Access (EAA) Auth, HTTP
Forcepoint Web Security HTTP
Cisco IronPort Auth HTTP
Skyhigh Secure Web Gateway HTTP
Symantec (Blue Coat) ProxySG WebProxy HTTP
Zscaler Secure Web Gateway HTTP Thirdparty

その他ネットワークアプライアンス🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cisco IOSベースのスイッチおよびルーター Management Auth
Aruba ClearPass NAC Auth

その他のインテグレーション🔗

HRMS & ID🔗

Azure Active Directory🔗

対応機能:

  • ADアカウントの有効化/無効化
  • パスワード変更の強制
  • ログイン履歴

インテグレーション方法

Microsoft Graph APIを実装しています。

対応検知機

Stolen Credentials、およびTactic Graphs™ Detector。

SIEM/セキュリティ🔗

Splunk Heavy Forwarder🔗

SplunkのHeavy Forwarderから送信されたすべてのデータをXDRに複製します。

インテグレーション方法

XDRは、TLS暗号化されたSyslogインジェスターを通じてSplunk Heavy Forwarderからデータを受信するように構成されます。XDRの技術担当者が、適切なTLS証明書の発行をサポートします。証明書が発行されたら、Splunk Heavy Forwarderのoutput.confファイルを更新し、XDRにデータを送信するように設定できます。

注意

XDRがサポートするインテグレーションでサポートされている転送データタイプのみ対応しています。

対応検知機

すべてのXDR検知機がSplunkから提供されるデータを利用可能です。利用はお客様の構成およびSplunkが転送するデータに依存します。

境界/プロキシ🔗

NDR🔗

NDRはSecureworksが提供するネットワークIDS/IPSです。最新の脅威インテリジェンスを活用し、境界でネットワークレベルの脅威シグネチャを検知します。NDRは、Secureworks® Taegis™ MDRに含まれる場合がある、別契約の機能です。

対応機能

  • インラインおよびパッシブのディープパケットインスペクション
  • TDR脅威インテリジェンスとのインテグレーション
  • ネットワーク上のデバイスのブロック

対応検知機

DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。

Palo Alto Networks🔗

XDR’s On-Premises Data Collectorを利用して、PANデバイスからNetFlowデータを取得します。

対応機能

  • Netflowキャプチャ
  • TDR脅威インテリジェンスとのインテグレーション

対応デバイス

  • Palo Alto Firewall PANOS 6.1 - 7.0 - 7.1
  • Panorama 6.1 - 6.7(Wildfire Security Logs含む)
  • Palo Alto Firewall PANOS 8.0 - 9.x - 10.0
  • Panorama 8.0 - 9.0 - 9.1

インテグレーション方法

Palo AltoからのSyslog情報はXDR Collectorで収集します。詳細はオンプレミスデータコレクターをご参照ください。

対応検知機

DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。

Cisco🔗

対応機能

  • WAF機能
  • Netflowキャプチャ
  • TDR脅威インテリジェンスとのインテグレーション

対応デバイス

  • Cisco ASA
  • Cisco FTD
  • Cisco Meraki

インテグレーション方法

CiscoからのSyslog情報はXDR Collectorで収集し、FTDデバイスからのセキュリティイベント/ログはeStreamerで収集します。詳細はオンプレミスデータコレクターをご参照ください。

対応検知機

DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。

クラウドアプリケーション🔗

Office 365 / Azure🔗

対応機能

  • Office 365監査ログデータ(サービスへのログイン、アカウント変更、送受信メールのメタデータ)。このデータを正規化されたauthタイプに変換。各サービスでのログインを抽出し、異常検知機に供給。遠隔地からのアクセスなどの行動を検知。
  • XDRのインテグレーションは、Microsoft Graph Security Alertsをサポートするコレクターを利用。これらは、Palo Altoなどのサードパーティパートナーを含むすべてのMicrosoft製品で生成されるアラートです。
  • Azure AD監査ログ。

対応検知機

Stolen Credentials、およびTactic Graphs Detector。

Amazon Web Services🔗

AWSインテグレーションは、GuardDuty Findingsをサポートするカスタム開発のAWSコレクターを利用し、発見事項をインポートしてユーザーに表示します。現時点ではCloudwatchやCloudwatch Agentはサポートしていません。

また、AWS Application Load Balancer、AWS CloudTrail、AWS VPC Flowログ、AWS WAFをサポートするカスタムサーバーレスコレクターによるデータ収集もサポートしています。さらに、AWSに展開されたCisco Umbrellaサービスとのインテグレーションもサポートしています。

対応検知機

Stolen Credentials、およびTactic Graphs Detector。

エンドポイント🔗

Red Cloak Endpoint Agent🔗

Secureworks Red Cloak™ Endpoint AgentはXDRに含まれています。このエージェントは、DNS、IP、プロセス、Windowsログ、Linuxログなど、エンドポイントから豊富なテレメトリーを収集します。

対応検知機

XDR独自のすべての検知機がRed Cloak Endpoint Agentのテレメトリーを利用します: DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。

CrowdStrike🔗

CrowdStrikeエージェントは、DNS、IP、プロセス、Windowsログ、Linuxログなど、エンドポイントから豊富なテレメトリーを収集します。

注意

CrowdStrike Falcon Prevent (NGAV) からのテレメトリーをXDRで受信するには、CrowdStrike Falcon Insight (EDR) が必要です。Falcon Insightが収集したテレメトリーがXDRに送信されます。Falcon InsightのライセンスはSecureworksまたはCrowdStrikeから購入できます。

Falcon Prevent (NGAV)は検知のみを提供するため、CrowdStrike Falcon Prevent (NGAV)のみをお持ちの場合、XDRはテレメトリーを受信しません。

対応検知機

XDR独自のすべての検知機がCrowdStrikeデータを利用します。DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。

VMware Carbon Black Cloud Endpoint Standard and Enterprise EDR🔗

Carbon Blackの従来型AVサービス。XDRはCarbon Blackのテレメトリーにアクセスでき、このサービスでエンドポイント検知・対応(EDR)機能を実現します。XDRと統合されています。

Okta🔗

このインテグレーションにより、Okta APIを通じてOktaから直接ユーザー情報のテレメトリーを受信し、XDRのセキュリティ知識ベースをさらに強化します。

Oktaコネクターを利用し、認証イベント、ポリシー変更、ユーザー管理リストに関する情報がXDRプラットフォームに直接供給され、ケース対応時のアナリストへのインサイトをさらに提供します。