Azure データコレクター

Secureworks® Taegis™ XDR には、Microsoft Azure でセットアップできるコレクターがあります。Azure 用 Taegis™ XDR Collector は、仮想ハードディスク（VHD）として提供されます。各コレクターは、その構成によって一意に識別されます。構成データは、カスタムデータを介して Azure VM に注入されます。利便性のため、プロビジョニングプロセス完了時に XDR Collector 用のサンプル Azure Resource Manager テンプレートが生成されます。このサンプルテンプレートは、以下のリソースを作成します。

• ストレージアカウント — XDR Collector VHD を保存するために、プライベートコンテナを持つパブリック向けの Microsoft ストレージアカウントが作成されます。このストレージアカウントは他の目的で使用しないでください。
• Azure マネージドイメージ — XDR VHD がストレージアカウントにコピーされ、マネージドイメージに変換されます。
• ブートストラップ仮想マシン — デプロイプロセスを簡素化するため、一時的なブートストラップインスタンスが作成され、XDR VHD をお客様の Azure リソースグループおよびストレージアカウントにコピーし、XDR Collector がオンラインになると削除されます。
• XDR Collector 仮想マシン — syslog デバイスがトラフィックを送信できる単一の Azure 仮想マシンインスタンスです。
• ネットワークセキュリティグループ — ネットワークセキュリティグループは XDR Collector インスタンスにアタッチされ、udp/514 および tcp/601 のトラフィックを許可します。
• コンテナインスタンス — 一時的なブートストラップリソースをクリーンアップするために Azure コンテナインスタンスが使用されます。

XDR では、サンプルテンプレートのダウンロードまたは直接起動のオプションが提供されています。サンプルテンプレートはほとんどの Azure 仮想ネットワーク環境で動作しますが、必ず内容を慎重に確認し、すべてのネットワークおよびセキュリティポリシーに準拠していることを確認してください。上級ユーザーは、テンプレートからカスタムデータおよび VHD 共有アクセス署名（SAS）URL（ARM テンプレート内の sourceVHD 変数）を抽出し、独自の IaC や自動化ツールに組み込むことができます。サンプルテンプレートは SAS URL を使用して XDR VHD をお客様の Azure アカウントにコピーし、マネージドイメージを作成します。サンプル ARM テンプレートを使用しない場合は、SAS URL を使用して VHD をダウンロードするか、Azure CLI ツールを使用して VHD をお客様のストレージアカウントにコピーする必要があります。

注意

SAS URL は、ARM テンプレートが生成されてから 3 時間のみ有効です。

注意

提供されるサンプルテンプレートには、Owner ロールまたは Contributor と User Access Administrator ロールが必要です。

構成に関する注意事項

• サンプルテンプレートは、XDR VM にアタッチされたネットワークセキュリティグループを作成し、デプロイ先の Azure 仮想ネットワークからの udp/514 および tcp/601 を受け入れます。アウトバウンドトラフィックは XDR API エンドポイントへの tcp/443、NTP 用の udp/123、DNS 用の tcp/53 および udp/53 に制限されます。それ以外のすべてのインバウンドおよびアウトバウンドトラフィックはブロックされます。お客様のネットワークポリシーやセキュリティポリシー、ネットワーク要件が異なる場合は、サンプルテンプレートの修正が必要となる場合があります。

• サンプルテンプレートは、ブートストラップ仮想マシンにアタッチされたネットワークセキュリティグループも作成し、アウトバウンドの tcp/443 を許可します。ブートストラップ VM は、VHD をお客様のアカウントに正常にコピーするために https://aka.ms および Azure ストレージアカウントへのアクセスが必要です。他のイグレスネットワーク制御がある場合は、コレクターが完全にプロビジョニングされるまでこれらの接続を許可する必要があります。XDR Collector がオンラインになると、ブートストラップインスタンスは削除され（セキュリティグループも含む）、例外設定も削除できます。ブートストラップ VM がこのプロセス中に削除されない場合は、手動で削除できます。

• Azure 用 XDR Collector は、現在高可用性（HA）構成をサポートしていません。テンプレートをカスタマイズしたり、別の自動化ツールセットでデプロイする場合、インスタンスを仮想マシンスケールセットとしてデプロイする場合は、サイズを常に 1 に設定してください。同じ構成（カスタムデータ）で複数のコレクターを稼働させることはサポートされていません。

• サンプルテンプレートは、コレクターに /dev/sdc としてアタッチされる 200G のデータディスクボリュームを割り当てます。テンプレートをカスタマイズしたり独自の自動化を実装する場合は、デバイスが常に /dev/sdc として、最小サイズが 200G でアタッチされていることを確認してください。

注意

XDRコレクターは、適切に構成されたクラウドおよびオンプレミスのコレクターに対して、最大200K EPS（毎秒イベント数）をサポートできます。

注意

サードパーティ製ツールやアプリケーションは、いかなるXDRコレクターにもインストールできません。

データコレクターの接続要件

注意

XDRの特定の設定は、お客様のテナントがあるリージョン(US1, US2, US3, EU1, EU2)によって異なる点があります。

独自のSSL証明書を使用するすべてのデバイス（クラウドベースおよびオンプレミスのデータコレクターを含む）は、競合を回避するために、以下の宛先IPアドレスまたはドメインを許可リストに追加する必要があります。AWSデータコレクターを使用している場合は、AWSの表を参照してください。

ほとんどのデータコレクターの場合

ソース	宛先	ポート/プロトコル	備考
データコレクターのIPまたはホスト名	US1 collector.ctpx.secureworks.com 18.217.45.178/32 3.16.4.173/32 18.224.219.97/32 13.59.146.90/32 3.16.16.254/32 18.223.74.238/32 US2 collector.delta.taegis.secureworks.com 52.14.113.127/32 3.141.73.137/32 3.136.78.106/32 US3 collector.foxtrot.taegis.secureworks.com 44.229.101.49 35.166.77.47 34.214.135.78 EU1 collector.echo.taegis.secureworks.com 18.158.143.139/32 35.159.14.37/32 52.59.37.234/32 EU2 collector.golf.taegis.secureworks.com 54.217.251.111/32 54.194.78.20/32 52.50.215.147/32	TCP/443	デバイスからXDRへのアクセスを許可リスト化
データコレクターのIPまたはホスト名	プロビジョニング時に提供されたNTPサーバーのIP/ホスト名	UDP/123	デバイスからNTPサーバーへのアクセスを許可リスト化 このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
データコレクターのIPまたはホスト名	0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org	UDP/123	デバイスからデフォルトNTPサーバーへのアクセスを許可リスト化 このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
データコレクターのIPまたはホスト名	プロビジョニング時に提供されたDNSサーバーのIP	UDP/53 TCP/53	デバイスからDNSサーバーへのアクセスを許可リスト化

注意

ローカルNTPを使用する場合は、これらのネットワーク上でデータコレクターとの双方向のアクセスを許可リスト化する必要があります。

AWSデータコレクターの場合

ソース	宛先	ポート/プロトコル	備考
AWSデータコレクターのIPまたはホスト名	US1 collector.ctpx.secureworks.com 18.217.45.178/32 3.16.4.173/32 18.224.219.97/32 13.59.146.90/32 3.16.16.254/32 18.223.74.238/32 US2 collector.delta.taegis.secureworks.com 52.14.113.127/32 3.141.73.137/32 3.136.78.106/32 US3 collector.foxtrot.taegis.secureworks.com 44.229.101.49 35.166.77.47 34.214.135.78 EU1 collector.echo.taegis.secureworks.com 18.158.143.139/32 35.159.14.37/32 52.59.37.234/32 EU2 collector.golf.taegis.secureworks.com 54.217.251.111/32 54.194.78.20/32 52.50.215.147/32	TCP/443	ホスト名経由でTaegis XDRへのデバイスアクセスを許可リスト化
AWSデータコレクターのIPまたはホスト名	プロビジョニング時に提供されたNTPサーバーのIP/ホスト名	UDP/123	デバイスからNTPサーバーへのアクセスを許可リスト化 このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
AWSデータコレクターのIPまたはホスト名	169.254.169.123	UDP/123	デバイスからデフォルトNTPサーバーへのアクセスを許可リスト化 このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
AWSデータコレクターのIPまたはホスト名	プロビジョニング時に提供されたDNSサーバーのIP	UDP/53 TCP/53	デバイスからDNSサーバーへのアクセスを許可リスト化

プロキシサポート

クラウドベースおよびオンプレミスのデータコレクターは、インターネットに直接接続できない場合、ホスト上のローカルプロキシ設定を自動的に検出しようとします。

クラウドベースおよびオンプレミスのデータコレクターは、ハードコードされたプロキシにも対応しています。ハードコードされたプロキシを含むデータコレクターを作成する必要がある場合は、以下の必要情報を添えてサポートリクエストを提出してください。

• プロキシIP
• プロキシポート

プロキシが設定されているが利用できない、または到達できない場合、データコレクターは直接接続にフォールバックします。

注意

クラウドベースおよびオンプレミスのデータコレクターは、現時点ではハードコードされた認証付きプロキシをサポートしていません。中間者攻撃（MITM）機能を持つプロキシは、上記のネットワーク接続を許可リスト化する必要があります。

XDR Azure コレクターのインストールと構成

XDR で XDR Azure コレクターの構成プロセスを開始するには、インテグレーション > データコレクター から開始します。テンプレートが作成され、その後 Azure アカウントのコンソールに転送されて構成を完了します。

1. Taegis XDRメニューからインテグレーションを選択し、データコレクターを選択します。

2. 右上のアクション > コレクターの追加を選択します。

   

   新しいコレクターの追加

3. コレクタータイプとしてクラウドホスト型を選択し、次へを選択します。

4. 必須の名前とホスト名のフィールド、および任意の説明、ホストプロキシ、NTPサーバーのフィールドを入力し、コレクターの作成を選択します。

   注意

   必要に応じて独自のNTPサーバーを指定したり、HTTPプロキシアドレスを追加したりすることができます。HTTPプロキシアドレスは次の形式に従う必要があります: [http\[s]://\[user:pass@]hostname\[:port]|http://<hostname>[:port]]。

   注意

   デフォルトおよびカスタムのNTP設定は、起動時のブートストラッププロセス中のみ使用されます。接続が確立されると、データコレクターはXDRバックエンド接続を介して時刻を同期します。接続が確立されると、NTPサーバーの値はAdmiralコンソールのntp.collectorとして反映されます。

   

   クラウドコレクターの作成

   ヒント

   Cisco Firepower Threat Defense (FTD)デバイスからすべてのセキュリティイベントログを取得するためにeStreamerアプリをコレクターに追加するには、eStreamerアプリを参照してください。詳細については、Cisco FTD Firewallガイドを参照してください。

5. コレクターのインストールセクションには、以下のオプションが表示されます。

   • Amazon Web Services (AWS) — このオプションはXDRコレクターをAWSにデプロイする場合に使用します。
   • Google Cloud Platform (GCP) — このオプションはXDRコレクターをGCPにデプロイする場合に使用します。
   • Microsoft Azure — このオプションはXDRコレクターをAzureにデプロイする場合に使用します。

6. Microsoft Azure を選択し、Deploy in Azure をクリックします。

   

   Azure Collector

   注意

   Download ARM Template を選択することで、Azure Resource Manager テンプレートを json 形式でダウンロードすることもできます。

   Azure コンソールが新しいブラウザウィンドウで Template Deployment ページを表示し、コレクター用のパラメータを含む Azure Resource Manager テンプレート（JSON）が事前に読み込まれます。

   

   Azure Configuration

7. このデプロイメントに関連付ける Azure サブスクリプション を選択します。

8. 既存または新規の リソースグループ を選択します。新しいリソースグループの作成を推奨します。
9. デプロイメントの Azure リージョンを選択します。これはコレクターをデプロイしたい Azure 仮想ネットワーク と同じリージョンである必要があります。
10. コレクターの Vm Name を入力します。
11. コレクターの Vm Size を選択します。現在、Standard_D4s_v3 を推奨しています。これは多くのデプロイメントに対応でき、後から追加のログソースにも対応可能です。報告ソースが少ない環境ではより小さい SKU を選択することもできますが、Standard_D4s_v3 SKU の選択を推奨します。

12. Azure 仮想ネットワーク を含むリソースグループ名を入力します。

    重要

    上記の Azure 仮想ネットワークリソース は、コレクターのデプロイ前に存在している必要があります（存在しない場合は作成する必要があります）。また、データコレクターの接続要件に記載された要件を満たしている必要があります。 この要件が満たされていない場合、デプロイメントは失敗します。

13. コレクターをデプロイする Azure 仮想ネットワーク の名前を入力します。

14. コレクターをデプロイする Azure 仮想ネットワークサブネット の名前を入力します。
15. オプションで、コレクターに割り当てる 静的プライベートIP のアドレスを入力するか、空欄のままにして自動割り当てにします。
16. Utc Now フィールドはデフォルト値のままにします。これはデプロイメントの一意な名前を生成するためだけに使用されます。
17. Random Seed フィールドもデフォルト値のままにします。これはデプロイメント中に使用される一時パスワードのランダムデータ生成に必要です。デフォルトはテンプレート実行時に作成されるランダムな GUID です。
18. Azure Marketplace の利用規約を確認し、同意するチェックボックスをオンにします。

19. Purchase をクリックしてデプロイメントを開始します。

    重要

    XDR で Office 365 からデータを受信するには、Office 365 の監査ログ記録を有効にする必要があります。Office 365 の監査ログ記録はデフォルトで無効になっています。 詳細は Turn Office 365 audit log search on or off を参照してください。

トラブルシューティングコンソールへのアクセス

Admiral コンソールを使用すると、デプロイ済みの XDR Collector に関する情報にローカルでアクセスできます。Admiral 内のツールは、デバイスのセットアップやネットワーク接続などの一般的な問題のトラブルシューティングを支援します。

詳細は Admiral Console を参照してください。

XDR Collector 構成の編集

重要

稼働中の XDR Collector 構成を変更することは、デバイスが動作不能になるリスクを伴います。XDR Collector は、構成変更が失敗した場合、可能な限り前の構成にロールバックしようとします。XDR Collector の構成変更は、お客様のリスクおよび変更管理ガイドラインに従い、他の環境変更と同じレベルの注意を払って実施してください。常にデバイスの再デプロイに備えておく必要があります。

稼働中かつ正常な XDR Collector の特定の構成パラメータは、ライブコレクター上で変更可能です。これらのパラメータを編集するには、コレクター詳細ページで アクション を選択し、コレクター構成の編集 を選択します。編集可能なフィールドには、ホスト名、プロキシ設定、NTP サーバーが含まれます。ネットワークインターフェース構成の変更が必要な場合は、新しい XDR Collector のプロビジョニングが必要です。

Edit Collector Details

Edit Collector Configuration Slideout

XDR Collector の構成変更を送信すると、変更が保留中であることを示すバナーが表示され、変更が完了するまで編集アクションは利用できなくなります。保留中の変更はお客様の XDR Collector にプッシュされ、適用および接続テストが実施されます。

Edit Collector Configuration Pending

保留中の変更によって XDR Collector が正常に接続できなくなった場合、変更は前の構成にロールバックされ、バナーに失敗メッセージが表示されます。

Edit Collector Configuration Rolled Back

変更が成功した場合、変更完了後にバナーで成功メッセージが表示されます。

Edit Collector Configuration Success

まれに、構成変更とロールバックの両方が失敗する場合があります。例としては、変更中に基盤となるネットワークが変更された場合や、変更中にバックエンドへのネットワーク接続障害が発生した場合などが挙げられます。このような場合は失敗バナーが表示され、XDR Collector の再デプロイが必要となります。

Edit Collector Configuration Failed

変更が完了したら、新しい Azure ARM テンプレートをダウンロードし、現在のデプロイメントにアップデートを適用してください。これにより、新しいインスタンスが作成された場合でも新しい構成が保持されます。

Manage Integrations Collector Downloads