コンテンツにスキップ

Azure データコレクター🔗

Secureworks® Taegis™ XDR には、Microsoft Azure でセットアップできるコレクターがあります。Azure 用 Taegis™ XDR Collector は、仮想ハードディスク(VHD)として提供されます。各コレクターは、その構成によって一意に識別されます。構成データは、カスタムデータを介して Azure VM に注入されます。利便性のため、プロビジョニングプロセス完了時に XDR Collector 用のサンプル Azure Resource Manager テンプレートが生成されます。このサンプルテンプレートは、以下のリソースを作成します。

  • ストレージアカウント — XDR Collector VHD を保存するために、プライベートコンテナを持つパブリック向けの Microsoft ストレージアカウントが作成されます。このストレージアカウントは他の目的で使用しないでください。
  • Azure マネージドイメージ — XDR VHD がストレージアカウントにコピーされ、マネージドイメージに変換されます。
  • ブートストラップ仮想マシン — 展開プロセスを簡素化するため、一時的なブートストラップインスタンスが作成され、XDR VHD をお客様の Azure リソースグループおよびストレージアカウントにコピーし、XDR Collector がオンラインになると削除されます。
  • XDR Collector 仮想マシン — syslog デバイスがトラフィックを送信できる単一の Azure 仮想マシンインスタンスです。
  • ネットワークセキュリティグループ — ネットワークセキュリティグループは XDR Collector インスタンスにアタッチされ、udp/514 および tcp/601 のトラフィックを許可します。
  • コンテナインスタンス — 一時的なブートストラップリソースをクリーンアップするために Azure コンテナインスタンスが使用されます。

XDR では、サンプルテンプレートのダウンロードまたは直接起動のオプションが提供されています。サンプルテンプレートはほとんどの Azure 仮想ネットワーク環境で動作しますが、必ず内容をよく確認し、すべてのネットワークおよびセキュリティポリシーに準拠していることを確認してください。上級ユーザーは、カスタムデータや VHD 共有アクセス署名(SAS)URL(ARM テンプレート内の sourceVHD 変数)をテンプレートから抽出し、独自の IaC や自動化ツールに組み込むことができます。サンプルテンプレートは SAS URL を使用して XDR VHD をお客様の Azure アカウントにコピーし、マネージドイメージを作成します。サンプル ARM テンプレートを使用しない場合は、SAS URL を使用して VHD をダウンロードするか、Azure CLI ツールを使って VHD をお客様のストレージアカウントにコピーする必要があります。

注意

SAS URL は ARM テンプレート生成時から 3 時間のみ有効です。

注意

提供されるサンプルテンプレートには Owner ロール、または ContributorUser Access Administrator ロールが必要です。

構成に関する注意事項🔗

  • サンプルテンプレートは、XDR VM にアタッチされたネットワークセキュリティグループを作成し、udp/514 および tcp/601 を、デプロイ先の Azure 仮想ネットワークから受け入れます。アウトバウンドトラフィックは XDR API エンドポイントへの tcp/443、NTP 用の udp/123、DNS 用の tcp/53 および udp/53 に制限されます。それ以外のすべてのインバウンドおよびアウトバウンドトラフィックはブロックされます。お客様のネットワークポリシーやセキュリティポリシー、ネットワーク要件が異なる場合は、サンプルテンプレートの修正が必要となる場合があります。

  • サンプルテンプレートは、ブートストラップ仮想マシンにアタッチされたネットワークセキュリティグループも作成し、アウトバウンド tcp/443 を許可します。ブートストラップ VM は、VHD をお客様のアカウントに正常にコピーするために https://aka.ms および Azure ストレージアカウントへのアクセスが必要です。他のイグレスネットワーク制御がある場合は、コレクターのプロビジョニングが完了するまでこれらの接続を許可する必要があります。XDR Collector がオンラインになると、ブートストラップインスタンスは削除され(セキュリティグループも含む)、例外設定も削除できます。ブートストラップ VM がこのプロセス中に削除されない場合は、手動で削除できます。

  • Azure 用 XDR Collector は現在、冗長構成(HA)をサポートしていません。テンプレートをカスタマイズしたり、別の自動化ツールセットでデプロイする場合、インスタンスを仮想マシンスケールセットとしてデプロイする場合は、サイズを常に 1 に設定してください。同じ構成(カスタムデータ)で複数のコレクターを稼働させることはサポートされていません。

  • サンプルテンプレートは、コレクターに /dev/sdc としてアタッチされる 200G のデータディスクボリュームを割り当てます。テンプレートをカスタマイズしたり独自の自動化を実装する場合は、デバイスが常に /dev/sdc として、最小サイズ 200G でアタッチされていることを確認してください。

注意

XDRコレクターは、適切に構成されたクラウドおよびオンプレミスのコレクターに対して、最大200K EPS(毎秒イベント数)をサポートできます。

注意

サードパーティ製ツールやアプリケーションは、いかなるXDRコレクターにもインストールできません。

データコレクターの接続要件🔗

注意

XDRの特定の設定は、お客様のテナントがあるリージョン(US1, US2, US3, EU1, EU2)によって異なる点があります。

独自のSSL証明書を使用するすべてのデバイス(クラウドベースおよびオンプレミスのデータコレクターを含む)は、競合を回避するために、以下の宛先IPアドレスまたはドメインを許可リストに追加する必要があります。AWSデータコレクターを使用している場合は、AWSの表を参照してください。

ほとんどのデータコレクターの場合🔗

ソース 宛先 ポート/プロトコル 備考
データコレクターのIPまたはホスト名
US1
collector.ctpx.secureworks.com
18.217.45.178/32
3.16.4.173/32
18.224.219.97/32
13.59.146.90/32
3.16.16.254/32
18.223.74.238/32
US2
collector.delta.taegis.secureworks.com
52.14.113.127/32
3.141.73.137/32
3.136.78.106/32
US3
collector.foxtrot.taegis.secureworks.com
44.229.101.49
35.166.77.47
34.214.135.78
EU1
collector.echo.taegis.secureworks.com
18.158.143.139/32
35.159.14.37/32
52.59.37.234/32
EU2
collector.golf.taegis.secureworks.com
54.217.251.111/32
54.194.78.20/32
52.50.215.147/32
TCP/443 デバイスからXDRへのアクセスを許可リスト化
データコレクターのIPまたはホスト名 プロビジョニング時に提供されたNTPサーバーのIP/ホスト名 UDP/123 デバイスからNTPサーバーへのアクセスを許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
データコレクターのIPまたはホスト名 0.pool.ntp.org
1.pool.ntp.org
2.pool.ntp.org
3.pool.ntp.org
UDP/123 デバイスからデフォルトNTPサーバーへのアクセスを許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
データコレクターのIPまたはホスト名 プロビジョニング時に提供されたDNSサーバーのIP UDP/53
TCP/53
デバイスからDNSサーバーへのアクセスを許可リスト化

注意

ローカルNTPを使用する場合は、これらのネットワーク上でデータコレクターとの双方向のアクセスを許可リスト化する必要があります。

AWSデータコレクターの場合🔗

ソース 宛先 ポート/プロトコル 備考
AWSデータコレクターのIPまたはホスト名
US1
collector.ctpx.secureworks.com
18.217.45.178/32
3.16.4.173/32
18.224.219.97/32
13.59.146.90/32
3.16.16.254/32
18.223.74.238/32
US2
collector.delta.taegis.secureworks.com
52.14.113.127/32
3.141.73.137/32
3.136.78.106/32
US3
collector.foxtrot.taegis.secureworks.com
44.229.101.49
35.166.77.47
34.214.135.78
EU1
collector.echo.taegis.secureworks.com
18.158.143.139/32
35.159.14.37/32
52.59.37.234/32
EU2
collector.golf.taegis.secureworks.com
54.217.251.111/32
54.194.78.20/32
52.50.215.147/32
TCP/443 ホスト名経由でTaegis XDRへのデバイスアクセスを許可リスト化
AWSデータコレクターのIPまたはホスト名 プロビジョニング時に提供されたNTPサーバーのIP/ホスト名 UDP/123 デバイスからNTPサーバーへのアクセスを許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
AWSデータコレクターのIPまたはホスト名 169.254.169.123 UDP/123 デバイスからデフォルトNTPサーバーへのアクセスを許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
AWSデータコレクターのIPまたはホスト名 プロビジョニング時に提供されたDNSサーバーのIP UDP/53
TCP/53
デバイスからDNSサーバーへのアクセスを許可リスト化

プロキシサポート🔗

クラウドベースおよびオンプレミスのデータコレクターは、インターネットに直接接続できない場合、ホスト上のローカルプロキシ設定を自動的に検出しようとします。

クラウドベースおよびオンプレミスのデータコレクターは、ハードコードされたプロキシにも対応しています。ハードコードされたプロキシを含むデータコレクターを作成する必要がある場合は、以下の必要情報を添えてサポートリクエストを提出してください。

  • プロキシIP
  • プロキシポート

プロキシが設定されているが利用できない、または到達できない場合、データコレクターは直接接続にフォールバックします。

注意

クラウドベースおよびオンプレミスのデータコレクターは、現時点ではハードコードされた認証付きプロキシをサポートしていません。中間者攻撃(MITM)機能を持つプロキシは、上記のネットワーク接続を許可リスト化する必要があります。

既存コレクターの Standard HDD から Standard SSD への移行🔗

すでに Standard HDD OS ディスクを使用してコレクターをデプロイしている場合は、専用の移行ガイドを使用して Standard SSD への移行を計画・完了してください。

この移行プロセスは既存のデプロイメント向けであり、新規コレクターインストールとは別のものです。

詳細は Azure コレクター OS ディスクの Standard HDD から Standard SSD への移行 をご覧ください。

XDR Azure コレクターのインストールと構成🔗

XDR で XDR Azure コレクターの構成プロセスを開始するには、インテグレーション > データコレクター から開始します。テンプレートが作成され、その後 Azure アカウントのコンソールに転送されて構成を完了します。

  1. Taegis XDRメニューからインテグレーションを選択し、データコレクターを選択します。

  2. 右上のアクション > コレクターの追加を選択します。

    新しいコレクターの追加

  3. コレクタータイプとしてクラウドホスト型を選択し、次へを選択します。

  4. 必須の名前とホスト名のフィールド、および任意の説明、ホストプロキシ、NTPサーバーのフィールドを入力し、コレクターの作成を選択します。

    注意

    必要に応じて独自のNTPサーバーを指定したり、HTTPプロキシアドレスを追加したりすることができます。HTTPプロキシアドレスは次の形式に従う必要があります: [http\[s]://\[user:pass@]hostname\[:port]|http://<hostname>[:port]]

    注意

    デフォルトおよびカスタムのNTP設定は、起動時のブートストラッププロセス中のみ使用されます。接続が確立されると、データコレクターはXDRバックエンド接続を介して時刻を同期します。接続が確立されると、NTPサーバーの値はAdmiralコンソールntp.collectorとして反映されます。

    クラウドコレクターの作成

    ヒント

    Cisco Firepower Threat Defense (FTD)デバイスからすべてのセキュリティイベントログを取得するためにeStreamerアプリをコレクターに追加するには、eStreamerアプリを参照してください。詳細については、Cisco FTD Firewallガイドを参照してください。

  5. コレクターのインストールセクションには、以下のオプションが表示されます。

    • Amazon Web Services (AWS) — このオプションはXDRコレクターをAWSにデプロイする場合に使用します。
    • Google Cloud Platform (GCP) — このオプションはXDRコレクターをGCPにデプロイする場合に使用します。
    • Microsoft Azure — このオプションはXDRコレクターをAzureにデプロイする場合に使用します。
  6. Microsoft Azure を選択し、Deploy in Azure をクリックします。

    Azure Collector

    注意

    Download ARM Template を選択すると、json 形式の Azure Resource Manager テンプレートもダウンロードできます。

    Azure コンソールでは、新しいブラウザウィンドウで Template Deployment ページが表示され、コレクター用パラメータを含む Azure Resource Manager テンプレート(JSON)が事前読み込みされます。

    Azure Configuration

  7. このデプロイメントを関連付ける Azure サブスクリプション を選択します。

  8. 既存または新規の リソースグループ を選択します。新しいリソースグループの作成を推奨します。
  9. デプロイメントの Azure リージョンを選択します。これはコレクターをデプロイしたい Azure 仮想ネットワーク と同じリージョンである必要があります。
  10. コレクターの Vm Name を入力します。
  11. コレクターの Vm Size を選択します。現在、ほとんどのデプロイメントに対応し、後から追加のログソースにも対応できる Standard_D4s_v3 を推奨しています。報告ソースが少ない環境ではより小さい SKU を選択することもできますが、Standard_D4s_v3 SKU の選択を推奨します。
  12. Azure 仮想ネットワーク を含むリソースグループ名を入力します。

    重要

    上記の Azure 仮想ネットワークリソース は、コレクターのデプロイ前に存在している必要があります(存在しない場合は作成が必要です)。また、データコレクターの接続要件 に記載された要件を満たしている必要があります。 この要件を満たしていない場合、デプロイメントは失敗します。

  13. コレクターをデプロイする Azure 仮想ネットワーク 名を入力します。

  14. コレクターをデプロイする Azure 仮想ネットワークサブネット 名を入力します。
  15. 必要に応じて、コレクターに割り当てる 静的プライベートIP のアドレスを入力するか、空欄のままにして自動割り当てにします。
  16. Utc Now フィールドはデフォルト値のままにします。これはデプロイメントの一意名生成のみに使用されます。
  17. Random Seed フィールドもデフォルト値のままにします。これはデプロイ時に一時パスワード生成用のランダムデータ生成に必要です。デフォルトはテンプレート実行時に作成されるランダム GUID です。
  18. Azure Marketplace の利用規約を確認し、同意するチェックボックスをオンにします。
  19. Purchase をクリックしてデプロイメントを開始します。

    重要

    XDR で Office 365 からデータを受信するには、Office 365 の監査ログ記録を有効にする必要があります。Office 365 の監査ログ記録はデフォルトで無効になっています。 詳細は Office 365 監査ログ検索のオンまたはオフの切り替え をご覧ください。

トラブルシューティングコンソールへのアクセス🔗

Admiral コンソールを使用すると、デプロイ済みの XDR Collector に関する情報にローカルでアクセスできます。Admiral 内のツールは、デバイスのセットアップやネットワーク接続などの一般的な問題のトラブルシューティングに役立ちます。

詳細は Admiral Console をご覧ください。

XDR Collector 構成の編集🔗

重要

稼働中のシステムの XDR Collector 構成を変更することは、デバイスが動作不能になるリスクを伴います。XDR Collector は、構成変更が失敗した場合、可能な限り前の構成にロールバックしようとします。XDR Collector の構成変更は、お客様のリスクおよび変更管理ガイドラインに従い、他の環境変更と同等の注意を払って実施してください。常にデバイスの再デプロイに備えておく必要があります。

稼働中かつ正常な XDR Collector の一部の構成パラメータは、ライブコレクター上で変更できます。これらのパラメータを編集するには、アクション を選択し、コレクター詳細ページから Edit Collector Configuration を選択します。編集可能なフィールドには、ホスト名、プロキシ設定、NTP サーバーが含まれます。ネットワークインターフェース構成の変更が必要な場合は、新しい XDR Collector のプロビジョニングが必要です。

Edit Collector Details

Edit Collector Configuration Slideout

XDR Collector の構成変更を送信すると、変更が保留中であることを示すバナーが表示され、変更が完了するまで編集アクションは利用できなくなります。保留中の変更はお客様の XDR Collector にプッシュされ、適用および接続テストが実施されます。

Edit Collector Configuration Pending

保留中の変更により XDR Collector が正常に接続できなくなった場合、変更は前の構成にロールバックされ、バナーに失敗メッセージが表示されます。

Edit Collector Configuration Rolled Back

変更が成功した場合、変更完了後にバナーで成功メッセージが表示されます。

Edit Collector Configuration Success

まれに、構成変更とロールバックの両方が失敗する場合があります。例としては、変更中の基盤ネットワークの変更や、変更中にバックエンドへのネットワーク接続障害が発生した場合などが挙げられます。このような場合は失敗バナーが表示され、XDR Collector の再デプロイが必要となります。

Edit Collector Configuration Failed

変更が完了したら、新しい Azure ARM テンプレートをダウンロードし、現在のデプロイメントにアップデートを適用してください。これにより、新しい構成が新しいインスタンス作成時にも保持されます。

Manage Integrations Collector Downloads