機能概要🔗
以下は、Secureworks® Taegis™ XDR のインテグレーションおよび構成機能の概要です。どの データソース が互換性を持ち、それらのソースからどのデータが XDR 検知機および Watchlist で取り込めるか、または必要かをまとめています。
ヒント
データインテグレーションの理解を深め、脅威検知の効果的なカバレッジにどのように役立つかを学ぶために、ビデオシリーズをご覧ください。トレーニングでは、Taegis XDR 内のデータがどのようにパース・正規化されてスキーマ化され、下記の検知機にデータが供給されるかを解説しています: トレーニング: XDRデータの理解。
地域🔗
注意
XDR の機能の利用可否は、お客様の環境が展開されているリージョンによって異なります。
検知機の入力🔗
以下は、各 Taegis 検知機 が必要とするデータソースまたはスキーマの一覧です:
- Account Compromise — Auth
- Bring Your Own Threat Intel — サポートされているインテグレーションからの正規化されたテレメトリー
- Brute Force — Auth
- Business Email Compromise — CloudAudit
- Cloud Recon to Change — AWS CloudAudit
- Domain Generation Algorithms — DNS
- Hands-On-Keyboard — プロセス
- Impossible Travel — Auth
- Kerberoasting — Auth
- Network IDS — NIDS
- Password Spray — Auth
- Penetration Test — 検出
- Portscanning and Broadscanning — Netflow
- Punycode — DNS
- Quick Mail Consent (MS o365) — Cloud Audit(MS O365 Management API監査ログ)
- Rare Program to Rare IP — Netflow, Process
- SharpHound — Auth, Netflow
- Snapshot Exfiltration — AWS CloudTrailログ
- Stolen User Credentials — Auth、観測結果
- Suspicious DNS Activity — DNS
- Tactic Graphs — 検出、Antivirus、ApiCall、Auth、Cloudaudit、検出の発見事項、DNS、Email、ファイルの変更、HTTP、Management、Netflow、NIDS、Process、スクリプトブロック、Taegis Agent Detection、Third Party
- Taegis NDR — 検出、NIDS、Netflow
- Taegis Watchlist — XDRスキーマとして正規化される全てのテレメトリー
- Watchlist, Cloud — Auth
- Watchlist, Domain — DNS
- Watchlist, Email — Email
- Watchlist, Endpoint — 正規化されたエンドポイントテレメトリー
- Watchlist, IP — Auth、Netflow
データ保持ポリシー🔗
Secureworksは、イベントおよび検出データをデータ受領日から12か月間保持します。その他のデータに関する事項については、Secureworks Cloud Services Interface プライバシーステートメントをご参照ください。
インテグレーションから提供されるデータ🔗
提供されるデータは、正規化されたデータ、汎用的な検知、ベンダー固有の検知 に分類されます。
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
クラウド🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Amazon GuardDuty | Thirdparty | ||
| AWS Application Load Balancer | HTTP | ||
| AWS CloudTrail | Auth, CloudAudit | ||
| Amazon S3サーバーアクセスログ | HTTP | HTTP | |
| AWS VPCフローログ | Netflow | ||
| AWS Web Application Firewall | HTTP | HTTP | |
| Box | Auth, CloudAudit, Thirdparty | ||
| Cisco Umbrella | DNS、HTTP、Netflow | ||
| Google Cloud Platform | CloudAudit | Netflow | Thirdparty |
| Google Workspace | Auth, HTTP | Auth, CloudAudit, Thirdparty | |
| MS Azure Active Directory | Auth, CloudAudit | ||
| MS Azure Active Directory アクティビティレポート | Auth | CloudAudit | |
| MS Azure Active Directory Identity Protection | CloudAudit, Thirdparty | ||
| MS Azure アクティビティログ | CloudAudit | ||
| MS Azure Firewall | DNS, HTTP, Netflow | ||
| MS Azure Flow Logs | Netflow | ||
| MS Azure WAF on Application Gateway | HTTP | ||
| MS Azure WAF on Front Door | HTTP | ||
| MS Graph Security API Alerts v2 | Antivirus, CloudAudit, Email, Thirdparty | ||
| MS Office 365 | Auth | Auth, CloudAudit, Email, Thirdparty | |
| Oracle Cloud Infrastructure (OCI) | CloudAudit | HTTP, Netflow | NIDS, Thirdparty |
| Salesforce Real-Time Event Monitoring | Auth, CloudAudit, HTTP, Thirdparty | Thirdparty |
Emailセキュリティ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Abnormal Inbound Email Security | |||
| Check Point Harmony Email Security | Email, Thirdparty | ||
| Mimecast | HTTP | ||
| Proofpoint | HTTP |
エンドポイント🔗
エンドポイントのテーブルは横スクロールで全てのデータを確認できます。
| 検出 | Auth | DNS | ファイル収集 | HTTP | NIDS | Netflow | Process | ファイル変更 | API Call | Registry | Scriptblock | Management | Persistence | Thread Injection | 発見事項 | テクニック発見事項 | ソフトウェア情報 | Generic | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Sophos Windows Endpoint Agent | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||||
| Sophos Linux Endpoint Agent | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||||||||
| Sophos macOS Endpoint Agent | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||||||||||
| Taegis Windows エンドポイントエージェント | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
| Taegis macOS エンドポイントエージェント | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||||||||
| Taegis Linux エンドポイントエージェント | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||||||
| Red Cloak Windows Endpoint Agent | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||||||
| Red Cloak Linux Endpoint Agent | ✓ | ✓ | ✓ | ||||||||||||||||
| VMware Carbon Black Cloud Endpoint™ Standard | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||||||
| VMware Carbon Black Cloud Enterprise EDR | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||||||
| CrowdStrike | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||
| Microsoft Defender | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓* | ✓* | ✓ | ✓ | ✓ | ✓* | ✓ | ||||||
| SentinelOne | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||||||
| EDR OCSF取り込み | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
* API Call、Registry、Thread InjectionはMicrosoft DefenderによってWindowsデバイスのみ収集されます。
注意
エンドポイントのテーブルは、今後のリリースで新しいインテグレーション定義に更新される予定です。
ファイアウォール/次世代ファイアウォール🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Barracuda Firewall | Netflow | ||
| Check Point Firewall | Auth, HTTP, Netflow | Antivirus, Thirdparty | |
| Cisco ASA Firewall | DHCP、Managementevent | Auth、DNS、HTTP、Netflow | NIDS |
| Cisco FTD Firewall(Syslogのみ、NIDSについてはeNCore経由のeStreamerを参照) | DHCP、Managementevent | Auth、DNS、HTTP、Netflow | NIDS |
| Cisco Meraki Firewall | ファイル | Auth, HTTP, Netflow | NIDS |
| Forecepoint Firewall | DHCP | Auth, HTTP, Netflow | Thirdparty |
| Fortigate Firewall | Auth, DNS, HTTP, Netflow | Antivirus, Thirdparty | |
| Juniper SRX Firewall | ファイル | Auth, HTTP, Netflow | NIDS |
| OPNsense Firewall | Netflow | ||
| Palo Alto Firewall | Auth, HTTP, Netflow | NIDS | |
| pfSense Firewall | Netflow | ||
| SonicWall Firewall | DHCP | Auth, DNS, HTTP, Netflow | NIDS |
| Sophos XGS Firewall | Antivirus, DHCP, Managementevent | Auth, HTTP, Netflow | Email, NIDS |
| WatchGuard Firewall | Auth | DNS, HTTP, Netflow | |
| Zscaler Cloud Firewall | DNS、Netflow |
ホスト型侵入検知システム🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| McAfee ePO | Antivirus、Auth、Thirdparty | Process | |
| Symantec Endpoint Protection | Antivirus, NIDS | ||
| Trend Micro Deep Security | Filemod、NIDS、Thirdparty | HTTP、Netflow | Antivirus |
IDとアクセス管理🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cisco Duo | Auth | ||
| Cisco ISE | Process | Auth | |
| CyberArk | CloudAudit | Auth | Thirdparty |
| Delinea Secret Server | CloudAudit, Generic | Auth | |
| Okta | CloudAudit | Auth |
インフラストラクチャ管理🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| vCenter | 管理 | Auth |
マイクロセグメンテーションソフトウェア🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai Guardicore Segmentation | Thirdparty | Netflow, Process |
ネットワーク型侵入検知システム🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Taegis NDR | Netflow, NIDS | NIDS | |
| Corelight (Zeek) | DHCP | Auth, DNS, Encrypt, HTTP, Netflow, 検出 | 検出 |
| Darktrace | Thirdparty | ||
| eStreamer via eNCore | Netflow, NIDS | NIDS | |
| LastLine | Auth | NIDS | |
| Suricata | DNS、HTTP、Netflow、NIDS | NIDS |
OTセキュリティ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Claroty CTD | Netflow | Thirdparty | |
| Dragos Platform | Netflow | Thirdparty | |
| Nozomi Guardian | Thirdparty | ||
| SCADAfence | Thirdparty | Netflow, NIDS |
重要
OTセキュリティインテグレーションをXDRテナントに追加するには、XDR for OT が必要です。必要なライセンスの取得については、アカウントマネージャーまたはCSMにお問い合わせください。
セキュリティサービスエッジ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cato Networks | Antivirus、Auth、DHCP、Thirdparty | Netflow | |
| Cloudflare | CloudAudit, NIDS, Thirdparty | DNS, HTTP, Netflow | |
| Netskope | Auth | HTTP, Netflow | Antivirus, NIDS, Thirdparty |
| Palo Alto Prisma Access | Auth, HTTP, Netflow | NIDS |
サーバーログ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Infoblox (BloxOne Threat Defense Data Connector, CEF) | DNS | ||
| Microsoft Windows Event Log (Microsoft-Windows-Security-Auditing) | File, Management, Process, Thirdparty, CloudAudit | Auth, Netflow | |
| Microsoft DHCP | DHCP | ||
| Microsoft DNS | DNS | ||
| Microsoft IIS | HTTP | ||
| 非Microsoftベースのサーバー(sudo/su/sshd/namedなどのプロセス) | Management | Auth, DNS |
VPNアプライアンス🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| PulseSecure VPN | Auth |
ウェブアプリケーションファイアウォール/ロードバランサー🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai App & API Protector | Thirdparty | HTTP | |
| F5 ASM WAF | HTTP | ||
| F5 LTM* | Management | Auth | |
| Barracuda WAF | HTTP | ||
| Fortinet FortiWeb | Netflow | Thirdparty | |
| Imperva WAF | HTTP | ||
| Imperva Cloud WAF | CloudAudit, Thirdparty | Auth | |
| Citrix ADC | 管理 | Auth, HTTP, Netflow |
ウェブプロキシ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai Enterprise Application Access (EAA) | Auth, HTTP | ||
| Forcepoint Web Security | HTTP | ||
| Cisco IronPort | Auth | HTTP | |
| Skyhigh Secure Web Gateway | HTTP | ||
| Symantec (Blue Coat) ProxySG WebProxy | HTTP | ||
| Zscaler Secure Web Gateway | HTTP | Thirdparty |
その他ネットワークアプライアンス🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cisco IOSベースのスイッチおよびルーター | Management | Auth | |
| Aruba ClearPass NAC | Auth |
その他のインテグレーション🔗
HRMS & ID🔗
Azure Active Directory🔗
対応機能:
- ADアカウントの有効化/無効化
- パスワード変更の強制
- ログイン履歴
インテグレーション方法
Microsoft Graph APIを実装しています。
対応検知機
Stolen Credentials、およびTactic Graphs™ Detector。
SIEM/セキュリティ🔗
Splunk Heavy Forwarder🔗
SplunkのHeavy Forwarderから送信されたすべてのデータをXDRに複製します。
インテグレーション方法
XDRは、TLS暗号化されたSyslogインジェスターを通じてSplunk Heavy Forwarderからデータを受信するように構成されます。XDRの技術担当者が、適切なTLS証明書の発行をサポートします。証明書が発行されたら、Splunk Heavy Forwarderのoutput.confファイルを更新し、XDRにデータを送信するように設定できます。
注意
XDRがサポートするインテグレーションでサポートされている転送データタイプのみ対応しています。
対応検知機
すべてのXDR検知機がSplunkから提供されるデータを利用可能です。利用はお客様の構成およびSplunkが転送するデータに依存します。
境界/プロキシ🔗
NDR🔗
NDRはSecureworksが提供するネットワークIDS/IPSです。最新の脅威インテリジェンスを活用し、境界でネットワークレベルの脅威シグネチャを検知します。NDRは、Secureworks® Taegis™ MDRに含まれる場合がある、別契約の機能です。
対応機能
- インラインおよびパッシブのディープパケットインスペクション
- TDR脅威インテリジェンスとのインテグレーション
- ネットワーク上のデバイスのブロック
対応検知機
DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。
Palo Alto Networks🔗
XDR’s On-Premises Data Collectorを利用して、PANデバイスからNetFlowデータを取得します。
対応機能
- Netflowキャプチャ
- TDR脅威インテリジェンスとのインテグレーション
対応デバイス
- Palo Alto Firewall PANOS 6.1 - 7.0 - 7.1
- Panorama 6.1 - 6.7(Wildfire Security Logs含む)
- Palo Alto Firewall PANOS 8.0 - 9.x - 10.0
- Panorama 8.0 - 9.0 - 9.1
インテグレーション方法
Palo AltoからのSyslog情報はXDR Collectorで収集します。詳細はオンプレミスデータコレクターをご参照ください。
対応検知機
DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。
Cisco🔗
対応機能
- WAF機能
- Netflowキャプチャ
- TDR脅威インテリジェンスとのインテグレーション
対応デバイス
- Cisco ASA
- Cisco FTD
- Cisco Meraki
インテグレーション方法
CiscoからのSyslog情報はXDR Collectorで収集し、FTDデバイスからのセキュリティイベント/ログはeStreamerで収集します。詳細はオンプレミスデータコレクターをご参照ください。
対応検知機
DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。
クラウドアプリケーション🔗
Office 365 / Azure🔗
対応機能
- Office 365監査ログデータ(サービスへのログイン、アカウント変更、送受信メールのメタデータ)。このデータを正規化されたauthタイプに変換。各サービスでのログインを抽出し、異常検知機に供給。遠隔地からのアクセスなどの行動を検知。
- XDRのインテグレーションは、Microsoft Graph Security Alertsをサポートするコレクターを利用。これらは、Palo Altoなどのサードパーティパートナーを含むすべてのMicrosoft製品で生成されるアラートです。
- Azure AD監査ログ。
対応検知機
Stolen Credentials、およびTactic Graphs Detector。
Amazon Web Services🔗
AWSインテグレーションは、GuardDuty Findingsをサポートするカスタム開発のAWSコレクターを利用し、発見事項をインポートしてユーザーに表示します。現時点ではCloudwatchやCloudwatch Agentはサポートしていません。
また、AWS Application Load Balancer、AWS CloudTrail、AWS VPC Flowログ、AWS WAFをサポートするカスタムサーバーレスコレクターによるデータ収集もサポートしています。さらに、AWSに展開されたCisco Umbrellaサービスとのインテグレーションもサポートしています。
対応検知機
Stolen Credentials、およびTactic Graphs Detector。
エンドポイント🔗
Red Cloak Endpoint Agent🔗
Secureworks Red Cloak™ Endpoint AgentはXDRに含まれています。このエージェントは、DNS、IP、プロセス、Windowsログ、Linuxログなど、エンドポイントから豊富なテレメトリーを収集します。
対応検知機
XDR独自のすべての検知機がRed Cloak Endpoint Agentのテレメトリーを利用します: DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。
CrowdStrike🔗
CrowdStrikeエージェントは、DNS、IP、プロセス、Windowsログ、Linuxログなど、エンドポイントから豊富なテレメトリーを収集します。
注意
CrowdStrike Falcon Prevent (NGAV) からのテレメトリーをXDRで受信するには、CrowdStrike Falcon Insight (EDR) が必要です。Falcon Insightが収集したテレメトリーがXDRに送信されます。Falcon InsightのライセンスはSecureworksまたはCrowdStrikeから購入できます。
Falcon Prevent (NGAV)は検知のみを提供するため、CrowdStrike Falcon Prevent (NGAV)のみをお持ちの場合、XDRはテレメトリーを受信しません。
対応検知機
XDR独自のすべての検知機がCrowdStrikeデータを利用します。DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。
VMware Carbon Black Cloud Endpoint Standard and Enterprise EDR🔗
Carbon Blackの従来型AVサービス。XDRはCarbon Blackのテレメトリーにアクセスでき、このサービスでエンドポイント検知・対応(EDR)機能を実現します。XDRと統合されています。
Okta🔗
このインテグレーションにより、Okta APIを通じてOktaから直接ユーザー情報のテレメトリーを受信し、XDRのセキュリティ知識ベースをさらに強化します。
Oktaコネクターを利用し、認証イベント、ポリシー変更、ユーザー管理リストに関する情報がXDRプラットフォームに直接供給され、ケース対応時のアナリストへのインサイトをさらに提供します。