コンテンツにスキップ

機能概要🔗

以下は、Secureworks® Taegis™ XDR のインテグレーションおよび構成機能の概要です。どの データソース が互換性を持ち、これらのソースからどのデータが XDR 検知機および Watchlist で取り込めるか、または必要かをまとめています。

ヒント

データインテグレーションの理解を深め、脅威検知の効果的なカバレッジにどのように役立つかを学ぶために、ビデオシリーズをご覧ください。トレーニングでは、Taegis XDR 内のデータがどのようにパース・正規化されてスキーマ化され、下記の検知機にデータが供給されるかを解説しています: トレーニング: XDRデータの理解

地域🔗

注意

XDR の機能の利用可否は、お客様の環境が展開されているリージョンによって異なります。

検知機の入力🔗

以下は、各 Taegis 検知機 が必要とするデータソースまたはスキーマの一覧です:

データ保持ポリシー🔗

Secureworksは、イベントおよび検出データをデータ受領日から12か月間保持します。その他のデータに関する事項については、Secureworks Cloud Services Interface プライバシーステートメントをご参照ください。

インテグレーションから提供されるデータ🔗

提供されるデータは 正規化されたデータ汎用的な検知ベンダー固有の検知 に分類されます。

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

クラウド🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Amazon GuardDuty     Thirdparty
AWS Application Load Balancer   HTTP  
AWS CloudTrail     Auth, CloudAudit
Amazon S3サーバーアクセスログ HTTP   HTTP
AWS VPCフローログ   Netflow  
AWS Web Application Firewall   HTTP HTTP
Box Auth, CloudAudit, Thirdparty    
Cisco Umbrella   DNS、HTTP、Netflow  
Google Cloud Platform CloudAudit Netflow Thirdparty
Google Workspace   Auth, HTTP Auth, CloudAudit, Thirdparty
MS Azure Active Directory Auth, CloudAudit    
MS Azure Active Directory アクティビティレポート   Auth CloudAudit
MS Azure Active Directory Identity Protection     CloudAudit, Thirdparty
MS Azure アクティビティログ     CloudAudit
MS Azure Firewall   DNS, HTTP, Netflow  
MS Azure Flow Logs   Netflow  
MS Azure WAF on Application Gateway   HTTP  
MS Azure WAF on Front Door   HTTP  
MS Graph Security API Alerts v2     Antivirus, CloudAudit, Email, Thirdparty
MS Office 365   Auth Auth, CloudAudit, Email, Thirdparty
Oracle Cloud Infrastructure (OCI) CloudAudit HTTP, Netflow NIDS, Thirdparty
Salesforce Real-Time Event Monitoring Auth, CloudAudit, HTTP, Thirdparty Thirdparty

Emailセキュリティ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Abnormal Inbound Email Security Email    
Check Point Harmony Email Security Email, Thirdparty    
Mimecast   HTTP Email
Proofpoint   HTTP Email

エンドポイント🔗

エンドポイントのテーブルは横スクロールで全てのデータを確認できます。

  検出 Auth DNS ファイル収集 HTTP NIDS Netflow Process ファイル変更 API Call Registry Scriptblock Management Persistence Thread Injection 検出結果 テクニックの検出結果 Generic
Sophos Windows Endpoint Agent              
Sophos Linux Endpoint Agent                      
Sophos macOS Endpoint Agent                          
Taegis Windows エンドポイントエージェント            
Taegis macOS エンドポイントエージェント                      
Taegis Linux エンドポイントエージェント                    
Red Cloak Windows Endpoint Agent                    
Red Cloak Linux Endpoint Agent                          
VMware Carbon Black Cloud Endpoint™ Standard                  
VMware Carbon Black Cloud Enterprise EDR                  
CrowdStrike          
Microsoft Defender for Endpoint       * * *    
SentinelOne          
EDR OCSF取り込み                    

注意

エンドポイントのテーブルは、今後のリリースで新しいインテグレーション定義に更新される予定です。

ファイアウォール/次世代ファイアウォール🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Barracuda Firewall   Netflow  
Check Point Firewall Email Auth, HTTP, Netflow Antivirus, Thirdparty
Cisco ASA Firewall DHCP、Managementevent Auth、DNS、HTTP、Netflow NIDS
Cisco FTD Firewall(Syslogのみ、NIDSについてはeNCore経由のeStreamerを参照) DHCP、Managementevent Auth、DNS、HTTP、Netflow NIDS
Cisco Meraki Firewall ファイル Auth, HTTP, Netflow NIDS
Forecepoint Firewall DHCP Auth, HTTP, Netflow Thirdparty
Fortigate Firewall Email Auth, DNS, HTTP, Netflow Antivirus, Thirdparty
Juniper SRX Firewall ファイル Auth, HTTP, Netflow NIDS
OPNsense Firewall Netflow
Palo Alto Firewall Auth, HTTP, Netflow NIDS
pfSense Firewall Netflow
SonicWall Firewall DHCP Auth, DNS, HTTP, Netflow NIDS
Sophos XGS Firewall Antivirus, DHCP, Managementevent Auth, HTTP, Netflow Email, NIDS
WatchGuard Firewall Auth DNS, HTTP, Netflow
Zscaler Cloud Firewall DNS、Netflow

ホスト型侵入検知システム🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
McAfee ePO Antivirus、Auth、Thirdparty Process
Symantec Endpoint Protection Antivirus, NIDS
Trend Micro Deep Security Filemod、NIDS、Thirdparty HTTP、Netflow Antivirus

IDとアクセス管理🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cisco Duo Auth
Cisco ISE Process Auth
CyberArk CloudAudit Auth Thirdparty
Delinea Secret Server CloudAudit, Generic Auth
Okta CloudAudit Auth

インフラストラクチャ管理🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
vCenter 管理 Auth

マイクロセグメンテーションソフトウェア🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai Guardicore Segmentation Thirdparty Netflow, Process

ネットワーク型侵入検知システム🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Taegis NDR Netflow, NIDS NIDS
Corelight (Zeek) DHCP Auth, DNS, Encrypt, HTTP, Netflow, 検出 検出
Darktrace Thirdparty
eStreamer via eNCore Netflow, NIDS NIDS
LastLine Auth NIDS
Suricata DNS、HTTP、Netflow、NIDS NIDS

OTセキュリティ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Claroty CTD Netflow Thirdparty
Dragos Platform Netflow Thirdparty
Nozomi Guardian Thirdparty
SCADAfence Thirdparty Netflow, NIDS

重要

OTセキュリティインテグレーションをXDRテナントに追加するには XDR for OT が必要です。必要なライセンス取得については、アカウントマネージャーまたはCSMにお問い合わせください。

セキュリティサービスエッジ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cato Networks Antivirus、Auth、DHCP、Thirdparty Netflow
Cloudflare CloudAudit, NIDS, Thirdparty DNS, HTTP, Netflow
Netskope Auth HTTP, Netflow Antivirus, NIDS, Thirdparty
Palo Alto Prisma Access Auth, HTTP, Netflow NIDS

サーバーログ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Infoblox (BloxOne Threat Defense Data Connector, CEF) DNS
Microsoft Windows Event Log (Microsoft-Windows-Security-Auditing) File, Management, Process, Thirdparty, CloudAudit Auth, Netflow
Microsoft DHCP DHCP
Microsoft DNS DNS
Microsoft IIS HTTP
非Microsoftベースのサーバー(sudo/su/sshd/namedなどのプロセス) Management Auth, DNS

VPNアプライアンス🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
PulseSecure VPN Auth

ウェブアプリケーションファイアウォール/ロードバランサー🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai App & API Protector Thirdparty HTTP
F5 ASM WAF HTTP
F5 LTM* Management Auth
Barracuda WAF HTTP
Fortinet FortiWeb Netflow Thirdparty
Imperva WAF HTTP
Imperva Cloud WAF CloudAudit, Thirdparty Auth
Citrix ADC 管理 Auth, HTTP, Netflow

ウェブプロキシ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai Enterprise Application Access (EAA) Auth, HTTP
Forcepoint Web Security HTTP
Cisco IronPort Auth HTTP
Skyhigh Secure Web Gateway HTTP
Symantec (Blue Coat) ProxySG WebProxy HTTP
Zscaler Secure Web Gateway HTTP Thirdparty

その他ネットワークアプライアンス🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Cisco IOSベースのスイッチおよびルーター Management Auth
Aruba ClearPass NAC Auth

その他のインテグレーション🔗

HRMS & ID🔗

Azure Active Directory🔗

対応機能:

  • ADアカウントの有効化/無効化
  • パスワード変更の強制
  • ログイン履歴

インテグレーション方法

Microsoft Graph APIを実装しています。

対応検知機

Stolen Credentials、およびTactic Graphs™ Detector。

SIEM/セキュリティ🔗

Splunk Heavy Forwarder🔗

SplunkのHeavy Forwarderから送信された全データをXDRに複製します。

インテグレーション方法

XDRは、TLS暗号化Syslogインジェスターを通じてSplunk Heavy Forwarderからデータを受信するように構成されます。XDRの技術担当者が、適切なTLS証明書の発行をサポートします。証明書が発行されたら、Splunk Heavy Forwarderのoutput.confファイルを更新し、データをXDRに送信できるように設定します。

注意

XDRでサポートされているインテグレーションの転送データタイプのみサポートしています。

対応検知機

全てのXDR検知機がSplunk提供データを利用可能です。利用可否はお客様の構成およびSplunkが転送するデータに依存します。

境界/プロキシ🔗

NDR🔗

NDRはSecureworksが提供するNetwork IDS/IPSです。最新の脅威インテリジェンスを活用し、ネットワーク境界で脅威シグネチャを検知します。NDRは、Secureworks® Taegis™ MDRに含まれる場合もある、別契約の機能です。

対応機能

  • インラインおよびパッシブのディープパケットインスペクション
  • TDR脅威インテリジェンスとのインテグレーション
  • ネットワーク上のデバイスのブロック

対応検知機

DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。

Palo Alto Networks🔗

XDR’s On-Premises Data Collectorを利用して、PANデバイスからNetFlowデータを取得します。

対応機能

  • Netflowキャプチャ
  • TDR脅威インテリジェンスとのインテグレーション

対応デバイス

  • Palo Alto Firewall PANOS 6.1 - 7.0 - 7.1
  • Panorama 6.1 - 6.7(Wildfire Security Logs含む)
  • Palo Alto Firewall PANOS 8.0 - 9.x - 10.0
  • Panorama 8.0 - 9.0 - 9.1

インテグレーション方法

Palo AltoからのSyslog情報はXDR Collectorで収集します。詳細はオンプレミスデータコレクターをご参照ください。

対応検知機

DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。

Cisco🔗

対応機能

  • WAF機能
  • Netflowキャプチャ
  • TDR脅威インテリジェンスとのインテグレーション

対応デバイス

  • Cisco ASA
  • Cisco FTD
  • Cisco Meraki

インテグレーション方法

CiscoからのSyslog情報はXDR Collectorで収集し、FTDデバイスからのセキュリティイベント/ログはeStreamerで収集します。詳細はオンプレミスデータコレクターをご参照ください。

対応検知機

DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist。

クラウドアプリケーション🔗

Office 365 / Azure🔗

対応機能

  • Office 365監査ログデータ(サービスへのログイン、アカウント変更、送受信メールのメタデータ)。このデータを正規化されたauthタイプに変換し、各サービスのログインを抽出して異常検知機に供給します。遠隔地からのアクセスなどの行動を検知します。
  • XDRのインテグレーションは、Microsoft Graph Security Alertsをサポートするコレクターを利用します。これらは、Palo Altoなどのサードパーティパートナーを含む全Microsoft製品で生成されるアラートです。
  • Azure AD監査ログ。

対応検知機

Stolen Credentials、およびTactic Graphs Detector。

Amazon Web Services🔗

AWSインテグレーションは、GuardDuty Findingsをサポートするカスタム開発のAWSコレクターを利用し、発見事項を取り込み、ユーザーに表示します。現時点ではCloudwatchやCloudwatch Agentはサポートしていません。

また、AWS Application Load Balancers、AWS CloudTrail、AWS VPC Flow logs、AWS WAFをサポートするカスタムサーバーレスコレクターによるデータ収集もサポートしています。さらに、AWSに展開されたCisco Umbrellaサービスとのインテグレーションもサポートしています。

対応検知機

Stolen Credentials、およびTactic Graphs Detector。

エンドポイント🔗

Red Cloak Endpoint Agent🔗

Secureworks Red Cloak™ Endpoint AgentはXDRに含まれています。このエージェントは、エンドポイントからDNS、IP、プロセス、Windowsログ、Linuxログなど豊富なテレメトリーを収集します。

対応検知機

XDR独自の全検知機がRed Cloak Endpoint Agentテレメトリーを利用します: DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。

CrowdStrike🔗

CrowdStrikeエージェントは、エンドポイントからDNS、IP、プロセス、Windowsログ、Linuxログなど豊富なテレメトリーを収集します。

注意

CrowdStrike Falcon Prevent (NGAV) からテレメトリーを受信するには、CrowdStrike Falcon Insight (EDR) が必要です。Falcon Insightが収集したテレメトリーがXDRに送信されます。Falcon InsightのライセンスはSecureworksまたはCrowdStrikeから購入可能です。

Falcon Prevent (NGAV)は検知のみを提供するため、CrowdStrike Falcon Prevent (NGAV)のみをお持ちの場合、XDRはテレメトリーを受信できません。

対応検知機

XDR独自の全検知機がCrowdStrikeデータを利用します: DGA、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs Detector、Punycode、IP Watchlist、Domain Watchlists。

VMware Carbon Black Cloud Endpoint Standard and Enterprise EDR🔗

Carbon Blackの従来型AVサービス。XDRはCarbon Blackテレメトリーにアクセスでき、このサービスでエンドポイント検知・対応(EDR)機能を実現します。XDRと統合されています。

Okta🔗

このインテグレーションにより、Okta API経由でOktaから直接ユーザー情報テレメトリーを受信し、XDRのセキュリティ知識ベースをさらに強化します。

Oktaコネクターを利用し、認証イベント、ポリシー変更、ユーザー管理リストに関する情報がXDRプラットフォームに直接供給され、ケース対応時のアナリストへのインサイトをさらに提供します。