機能概要🔗
以下は、Secureworks® Taegis™ XDR のインテグレーションおよび構成機能の概要です。どの データソース が互換性を持ち、これらのソースからどのデータが XDR 検知機および Watchlist で利用・必要とされるかをまとめています。
ヒント
データインテグレーションの理解を深め、脅威検出の効果的なカバレッジにどのように役立つかを学ぶために、ビデオシリーズをご覧ください。トレーニングでは、Taegis XDR 内のデータがどのようにパース・正規化されてスキーマ化され、下記の検知機にデータが供給されるかを解説しています: トレーニング: XDRデータの理解。
地域🔗
注意
XDR の機能の利用可否は、お客様の環境が展開されているリージョンによって異なります。
検知機の入力🔗
以下は、各 Taegis 検知機 が必要とするデータソースまたはスキーマの一覧です:
- Account Compromise — Auth
- Bring Your Own Threat Intel — サポートされているインテグレーションからの正規化されたテレメトリー
- Brute Force — Auth
- Business Email Compromise — CloudAudit
- Cloud Recon to Change — AWS CloudAudit
- Domain Generation Algorithms — DNS
- Hands-On-Keyboard — プロセス
- Impossible Travel — Auth
- Kerberoasting — Auth
- Network IDS — NIDS
- Password Spray — Auth
- Penetration Test — 検出
- Portscanning and Broadscanning — Netflow
- Punycode — DNS
- Quick Mail Consent (MS o365) — Cloud Audit(MS O365 Management API監査ログ)
- Rare Program to Rare IP — Netflow, Process
- SharpHound — Auth, Netflow
- Snapshot Exfiltration — AWS CloudTrailログ
- Stolen User Credentials — Auth、観測結果
- Suspicious DNS Activity — DNS
- Tactic Graphs — 検出、Antivirus、API Call、Auth、CloudAudit、検出 発見事項、DNS、Email、ファイル変更、HTTP、Management、Netflow、NIDS、Process、スクリプトブロック、Taegis Agent Detection、Thirdparty
- Taegis NDR — 検出、NIDS、Netflow
- Taegis Watchlist — XDRスキーマとして正規化される全てのテレメトリー
- Watchlist, Cloud — Auth
- Watchlist, Domain — DNS
- Watchlist, Email — Email
- Watchlist, Endpoint — 正規化されたエンドポイントテレメトリー
- Watchlist, IP — Auth、Netflow
データ保持ポリシー🔗
Secureworksは、イベントおよび検出データをデータ受領日から12か月間保持します。その他のデータに関する事項については、Secureworks Cloud Services Interface プライバシーステートメントをご参照ください。
インテグレーションから提供されるデータ🔗
提供されるデータは、正規化されたデータ、汎用的な検知、ベンダー固有の検知 に分類されます。
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
クラウド🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Amazon GuardDuty | Thirdparty | ||
| AWS Application Load Balancer | HTTP | ||
| AWS CloudTrail | Auth, CloudAudit | ||
| Amazon S3サーバーアクセスログ | HTTP | HTTP | |
| AWS VPCフローログ | Netflow | ||
| AWS Web Application Firewall | HTTP | HTTP | |
| Box | Auth, CloudAudit, Thirdparty | ||
| Cisco Umbrella | DNS、HTTP、Netflow | ||
| Google Cloud Platform | CloudAudit | Netflow | Thirdparty |
| Google Workspace | Auth, HTTP | Auth, CloudAudit, Thirdparty | |
| MS Azure Active Directory | Auth, CloudAudit | ||
| MS Azure Active Directory アクティビティレポート | Auth | CloudAudit | |
| MS Azure Active Directory Identity Protection | CloudAudit, Thirdparty | ||
| MS Azure アクティビティログ | CloudAudit | ||
| MS Azure Firewall | DNS、HTTP、Netflow | ||
| MS Azure Flow Logs | Netflow | ||
| MS Azure WAF on Application Gateway | HTTP | ||
| MS Azure WAF on Front Door | HTTP | ||
| MS Graph Security API v1 | CloudAudit, Thirdparty | ||
| MS Graph Security API Alerts v2 | Antivirus, CloudAudit, Email, Thirdparty | ||
| MS Office 365 | Auth | Auth, CloudAudit, Email, Thirdparty | |
| Oracle Cloud Infrastructure (OCI) | CloudAudit | HTTP, Netflow | NIDS, Thirdparty |
| Salesforce Real-Time Event Monitoring | Auth, CloudAudit, HTTP, Thirdparty | Thirdparty |
Emailセキュリティ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Abnormal Inbound Email Security | |||
| Check Point Harmony Email Security | Email, Thirdparty | ||
| Mimecast | HTTP | ||
| Proofpoint | HTTP |
エンドポイント🔗
エンドポイントのテーブルは、各エンドポイントエージェントが提供するすべてのデータを見るために横スクロールしてください。
| 検出 | Auth | DNS | ファイル収集 | HTTP | NIDS | Netflow | Process | ファイル変更 | API Call | Registry | Scriptblock | Management | Persistence | スレッドインジェクション | 発見事項(検出) | 発見事項(テクニック) | Generic | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Sophos Windows Endpoint Agent | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
| Sophos Linux Endpoint Agent | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||||||
| Sophos macOS Endpoint Agent | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||||||||
| Taegis Windows エンドポイントエージェント | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||
| Taegis macOS エンドポイントエージェント | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||||||
| Taegis Linux Endpoint Agent | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||||||
| Red Cloak Windows Endpoint Agent | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||||||
| Red Cloak Linux Endpoint Agent | ✓ | ✓ | ✓ | |||||||||||||||
| VMware Carbon Black Cloud Endpoint™ Standard | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||||
| VMware Carbon Black Cloud Enterprise EDR | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||||
| CrowdStrike | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||
| Microsoft Defender for Endpoint | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓* | ✓* | ✓ | ✓ | ✓ | ✓* | ✓ | |||||
| SentinelOne | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||
| EDR OCSF取り込み | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
注意
エンドポイントのテーブルは、今後のリリースで新しいインテグレーション定義に更新される予定です。
ファイアウォール/次世代ファイアウォール🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Barracuda Firewall | Netflow | ||
| Check Point Firewall | Auth、HTTP、Netflow | Antivirus、Thirdparty | |
| Cisco ASA Firewall | DHCP、Managementevent | Auth、DNS、HTTP、Netflow | NIDS |
| Cisco FTD Firewall (Syslogのみ、NIDSについてはeStreamer経由のeNCoreを参照) | DHCP、Managementevent | Auth、DNS、HTTP、Netflow | NIDS |
| Cisco Meraki Firewall | ファイル | Auth、HTTP、Netflow | NIDS |
| Forecepoint Firewall | DHCP | Auth, HTTP, Netflow | Thirdparty |
| Fortigate Firewall | Auth、DNS、HTTP、Netflow | Antivirus、Thirdparty | |
| Juniper SRX Firewall | ファイル | Auth, HTTP, Netflow | NIDS |
| OPNsense Firewall | Netflow | ||
| Palo Alto Firewall | Auth, HTTP, Netflow | NIDS | |
| pfSense Firewall | Netflow | ||
| SonicWall Firewall | DHCP | Auth, DNS, HTTP, Netflow | NIDS |
| Sophos XGS Firewall | Antivirus, DHCP, Managementevent | Auth, HTTP, Netflow | Email, NIDS |
| WatchGuard Firewall | Auth | DNS, HTTP, Netflow | |
| Zscaler Cloud Firewall | DNS、Netflow |
ホスト型侵入検知システム🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| McAfee ePO | Antivirus、Auth、Thirdparty | Process | |
| Symantec Endpoint Protection | Antivirus、NIDS | ||
| Trend Micro Deep Security | Filemod, NIDS, Thirdparty | HTTP, Netflow | Antivirus |
IDとアクセス管理🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cisco Duo | Auth | ||
| Cisco ISE | Process | Auth | |
| CyberArk | CloudAudit | Auth | Thirdparty |
| Okta | CloudAudit | Auth |
インフラストラクチャ管理🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| vCenter | 管理 | Auth |
マイクロセグメンテーションソフトウェア🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai Guardicore Segmentation | Thirdparty | Netflow, Process |
ネットワーク型侵入検知システム🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Taegis NDR | Netflow、NIDS | NIDS | |
| Corelight (Zeek) | DHCP | Auth, DNS, Encrypt, HTTP, Netflow, 検出 | 検出 |
| Darktrace | Thirdparty | ||
| eStreamer via eNCore | Netflow, NIDS | NIDS | |
| LastLine | Auth | NIDS | |
| Suricata | DNS、HTTP、Netflow、NIDS | NIDS |
OTセキュリティ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Claroty CTD | Netflow | Thirdparty | |
| Dragos Platform | Netflow | Thirdparty | |
| Nozomi Guardian | Thirdparty | ||
| SCADAfence | Thirdparty | Netflow, NIDS |
重要
OTセキュリティインテグレーションをXDRテナントに追加するには、XDR for OT が必要です。必要なライセンスの取得については、アカウントマネージャーまたはCSMにお問い合わせください。
セキュリティサービスエッジ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cato Networks | Antivirus、Auth、DHCP、Thirdparty | Netflow | |
| Cloudflare | CloudAudit、NIDS、Thirdparty | DNS、HTTP、Netflow | |
| Netskope | Auth | HTTP、Netflow | Antivirus、NIDS、Thirdparty |
| Palo Alto Prisma Access | Auth, HTTP, Netflow | NIDS |
サーバーログ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| InfoBlox(namedプロセス経由のDNS) | DNS | ||
| Microsoft Windows Event Log (Microsoft-Windows-Security-Auditing) | File, Management, Process, Thirdparty | Auth, Netflow | |
| Microsoft DHCP | DHCP | ||
| Microsoft DNS | DNS | ||
| Microsoft IIS | HTTP | ||
| 非Microsoftベースのサーバー(sudo/su/sshd/namedなどのプロセス) | Management | Auth, DNS |
VPNアプライアンス🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| PulseSecure VPN | Auth |
ウェブアプリケーションファイアウォール/ロードバランサー🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai App & API Protector | Thirdparty | HTTP | |
| F5 ASM WAF | HTTP | ||
| F5 LTM* | Management | Auth | |
| Barracuda WAF | HTTP | ||
| Fortinet FortiWeb | Netflow | Thirdparty | |
| Imperva WAF | HTTP | ||
| Imperva Cloud WAF | CloudAudit, Thirdparty | Auth | |
| Citrix ADC | 管理 | Auth, HTTP, Netflow |
ウェブプロキシ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai Enterprise Application Access (EAA) | Auth, HTTP | ||
| Forcepoint Web Security | HTTP | ||
| Cisco IronPort | Auth | HTTP | |
| Skyhigh Secure Web Gateway | HTTP | ||
| Symantec (Blue Coat) ProxySG WebProxy | HTTP | ||
| Zscaler Secure Web Gateway | HTTP | Thirdparty |
その他のネットワークアプライアンス🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cisco IOSベースのスイッチおよびルーター | Management | Auth | |
| Aruba ClearPass NAC | Auth |
その他のインテグレーション🔗
HRMS & ID🔗
Azure Active Directory🔗
サポートされている機能:
- ADアカウントの有効化/無効化
- パスワード変更の強制
- ログイン履歴
インテグレーション方法
Microsoft Graph APIを実装しています。
対応検知機
Stolen Credentials、および Tactic Graphs™ Detector。
SIEM/セキュリティ🔗
Splunk Heavy Forwarder🔗
SplunkのHeavy Forwarderから送信されたすべてのデータをXDRに複製します。
インテグレーション方法
XDRは、TLS暗号化Syslogインジェスターを通じてSplunk Heavy Forwarderからデータを受信するように構成されます。XDRの技術担当者が、適切なTLS証明書の発行をサポートします。証明書が発行されたら、Splunk Heavy ForwarderをXDRにデータ送信するよう構成できます。これには、Splunk Heavy Forwarderのoutput.confファイルの更新が含まれます。
注意
XDRでサポートされているインテグレーションの転送データタイプのみサポートしています。
対応検知機
すべてのXDR検知機がSplunk提供データを利用可能です。利用はお客様の構成およびSplunkが転送するデータに依存します。
境界/プロキシ🔗
NDR🔗
NDRはSecureworksが提供するネットワークIDS/IPSです。最新の脅威インテリジェンスを活用し、境界でネットワークレベルの脅威シグネチャを検出します。NDRは、Secureworks® Taegis™ MDRに含まれる場合がある、別契約の機能です。
サポートされている機能
- インラインおよびパッシブのディープパケットインスペクション
- TDR脅威インテリジェンスとのインテグレーション
- ネットワーク上のデバイスのブロック
対応検知機
DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。
Palo Alto Networks🔗
XDR’s On-Premises Data Collector を使用して、PANデバイスからNetFlowデータを取得します。
サポートされている機能
- Netflowキャプチャ
- TDR脅威インテリジェンスとのインテグレーション
サポートデバイス
- Palo Alto Firewall PANOS 6.1 - 7.0 - 7.1
- Panorama 6.1 - 6.7(Wildfire Security Logs含む)
- Palo Alto Firewall PANOS 8.0 - 9.x - 10.0
- Panorama 8.0 - 9.0 - 9.1
インテグレーション方法
Palo AltoからのSyslog情報はXDR Collectorを使用して収集します。詳細はオンプレミスデータコレクターをご参照ください。
対応検知機
DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。
Cisco🔗
サポートされている機能
- WAF機能
- Netflowキャプチャ
- TDR脅威インテリジェンスとのインテグレーション
サポートデバイス
- Cisco ASA
- Cisco FTD
- Cisco Meraki
インテグレーション方法
CiscoからのSyslog情報はXDR Collectorを使用して収集し、eStreamerを利用してFTDデバイスからセキュリティイベント/ログを収集します。詳細はオンプレミスデータコレクターをご参照ください。
対応検知機
DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。
クラウドアプリケーション🔗
Office 365 / Azure🔗
サポートされている機能
- Office 365監査ログデータ(サービスへのログイン、アカウント変更、送受信メールのメタデータ)。このデータを正規化されたauthタイプに変換。これらのサービス全体のログインを抽出し、異常検知機に供給。遠隔地からのアクセス等の行動を検出。
- XDRのインテグレーションは、Microsoft Graph Security Alertsをサポートするコレクターを利用。これらは、Palo Altoなどのサードパーティパートナーを含むすべてのMicrosoft製品で生成されるアラートです。
- Azure AD監査ログ。
対応検知機
Stolen Credentials、および Tactic Graphs Detector。
Amazon Web Services🔗
AWSインテグレーションは、GuardDuty Findingsをサポートするカスタム開発のAWSコレクターを利用し、検出結果をインポートしてユーザーに表示します。現時点でCloudwatchやCloudwatch Agentはサポートしていません。
また、AWS Application Load Balancers、AWS CloudTrail、AWS VPC Flowログ、AWS WAFをサポートするカスタムサーバーレスコレクターによるデータ収集もサポートしています。さらに、AWSに展開されたCisco Umbrellaサービスとのインテグレーションもサポートしています。
対応検知機
Stolen Credentials、および Tactic Graphs Detector。
エンドポイント🔗
Red Cloak Endpoint Agent🔗
Secureworks Red Cloak™ Endpoint AgentはXDRに含まれています。このエージェントは、DNS、IP、プロセス、Windowsログ、Linuxログなど、エンドポイントから豊富なテレメトリーを収集します。
対応検知機
XDR独自のすべての検知機がRed Cloak Endpoint Agentのテレメトリーを利用します: DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。
CrowdStrike🔗
CrowdStrikeエージェントは、DNS、IP、プロセス、Windowsログ、Linuxログなど、エンドポイントから豊富なテレメトリーを収集します。
注意
CrowdStrike Falcon Prevent (NGAV) からテレメトリーをXDRで受信するには、CrowdStrike Falcon Insight (EDR) が必要です。Falcon Insightが収集したテレメトリーがXDRに送信されます。Falcon InsightのライセンスはSecureworksまたはCrowdStrikeから購入可能です。
Falcon Prevent (NGAV)は検知のみを提供するため、CrowdStrike Falcon Prevent (NGAV)のみをお持ちの場合、XDRはテレメトリーを受信しません。
対応検知機
XDR独自のすべての検知機がCrowdStrikeデータを利用します: DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。
VMware Carbon Black Cloud Endpoint Standard および Enterprise EDR🔗
Carbon Blackの従来型AVサービス。XDRはCarbon Blackのテレメトリーにアクセスでき、このサービスでエンドポイント検知・対応(EDR)機能を実現します。XDRと統合されています。
Okta🔗
このインテグレーションにより、Okta APIを通じてOktaから直接ユーザー情報のテレメトリーを受信し、XDRのセキュリティ知識ベースがさらに強化されます。
Oktaコネクターを利用し、認証イベント、ポリシー変更、ユーザー管理リストに関する情報がXDRプラットフォームに直接供給され、ケース対応時のアナリストへのインサイトをさらに提供します。