コンテンツにスキップ

Azure データコレクター🔗

Secureworks® Taegis™ XDR には、Microsoft Azure でセットアップできるコレクターがあります。Azure 用 Taegis™ XDR Collector は、仮想ハードディスク(VHD)として提供されます。各コレクターは、その構成によって一意に識別されます。構成データは、カスタムデータを介して Azure VM に注入されます。利便性のため、プロビジョニングプロセス完了時に XDR Collector 用のサンプル Azure Resource Manager テンプレートが生成されます。このサンプルテンプレートは、以下のリソースを作成します。

  • ストレージアカウント — XDR Collector VHD を保存するために、プライベートコンテナを持つパブリック向けの Microsoft ストレージアカウントが作成されます。このストレージアカウントは他の目的で使用しないでください。
  • Azure マネージドイメージ — XDR VHD がストレージアカウントにコピーされ、マネージドイメージに変換されます。
  • ブートストラップ仮想マシン — 展開プロセスを簡素化するため、一時的なブートストラップインスタンスが作成され、XDR VHD をお客様の Azure リソースグループおよびストレージアカウントにコピーし、XDR Collector がオンラインになると削除されます。
  • XDR Collector 仮想マシン — syslog デバイスがトラフィックを送信できる単一の Azure 仮想マシンインスタンスです。
  • ネットワークセキュリティグループ — ネットワークセキュリティグループは XDR Collector インスタンスにアタッチされ、udp/514 および tcp/601 のトラフィックを許可します。
  • コンテナインスタンス — 一時的なブートストラップリソースをクリーンアップするために Azure コンテナインスタンスが使用されます。

XDR では、サンプルテンプレートのダウンロードまたは直接起動のオプションが提供されています。サンプルテンプレートはほとんどの Azure 仮想ネットワーク環境で動作しますが、すべてのネットワークおよびセキュリティポリシーに準拠していることを必ずご確認ください。上級ユーザーは、テンプレートからカスタムデータおよび VHD 共有アクセス署名(SAS)URL(ARM テンプレート内の sourceVHD 変数)を抽出し、独自の IaC や自動化ツールに組み込むことができます。サンプルテンプレートは SAS URL を使用して XDR VHD をお客様の Azure アカウントにコピーし、マネージドイメージを作成します。サンプル ARM テンプレートを使用しない場合は、SAS URL を使用して VHD をダウンロードするか、Azure CLI ツールを使用して VHD をお客様のストレージアカウントにコピーする必要があります。

注意

SAS URL は ARM テンプレートが生成されてから 3 時間のみ有効です。

注意

提供されるサンプルテンプレートには Owner ロール、または ContributorUser Access Administrator ロールが必要です。

構成に関する注意事項🔗

  • サンプルテンプレートは、XDR VM にアタッチされたネットワークセキュリティグループを作成し、デプロイ先の Azure 仮想ネットワークからの udp/514 および tcp/601 を受け入れます。アウトバウンドトラフィックは XDR API エンドポイントへの tcp/443、NTP 用の udp/123、および DNS 用の tcp/53udp/53 に制限されます。それ以外のすべてのインバウンドおよびアウトバウンドトラフィックはブロックされます。ネットワークポリシーやセキュリティポリシー、ネットワーク要件が異なる場合は、サンプルテンプレートの修正が必要となる場合があります。

  • サンプルテンプレートは、ブートストラップ仮想マシンにアタッチされたネットワークセキュリティグループも作成し、アウトバウンド tcp/443 を許可します。ブートストラップ VM は、VHD をお客様のアカウントに正常にコピーするために https://aka.ms および Azure ストレージアカウントへのアクセスが必要です。他のイグレスネットワーク制御がある場合は、コレクターが完全にプロビジョニングされるまでこれらの接続を許可する必要があります。XDR Collector がオンラインになると、ブートストラップインスタンスは削除され、そのセキュリティグループも削除されます。例外を削除しても問題ありません。ブートストラップ VM がこのプロセス中に削除されない場合は、手動で削除できます。

  • Azure 用 XDR Collector は現在、冗長構成(HA)をサポートしていません。テンプレートをカスタマイズしたり、別の自動化ツールセットでデプロイしたりして、インスタンスを仮想マシンスケールセットとしてデプロイする場合は、サイズを常に 1 に設定してください。同じ構成(カスタムデータ)で複数のコレクターを稼働させることはサポートされていません。

  • サンプルテンプレートは、コレクターに /dev/sdc としてアタッチされる 200G のデータディスクボリュームを割り当てます。テンプレートをカスタマイズしたり独自の自動化を実装する場合は、デバイスが常に /dev/sdc として、最小サイズ 200G でアタッチされていることを確認してください。

注意

XDRコレクターは、適切に構成されたクラウドおよびオンプレミスのコレクターに対して、最大200K EPS(毎秒イベント数)をサポートできます。

注意

サードパーティ製ツールやアプリケーションは、いかなるXDRコレクターにもインストールできません。

データコレクターの接続要件🔗

注意

XDRの特定の設定は、お客様のテナントがあるリージョン(US1, US2, US3, EU)によって異なる点があります。

独自のSSL証明書を使用するすべてのデバイス(クラウドベースおよびオンプレミスのデータコレクターを含む)は、競合を回避するために、以下の宛先IPアドレスまたはドメインを許可リストに追加する必要があります。AWSデータコレクターを使用している場合は、AWSの表を参照してください。

ほとんどのデータコレクターの場合🔗

ソース 宛先 ポート/プロトコル 備考
データコレクターのIPまたはホスト名
US1
collector.ctpx.secureworks.com
18.217.45.178/32
3.16.4.173/32
18.224.219.97/32
13.59.146.90/32
3.16.16.254/32
18.223.74.238/32
US2
collector.delta.taegis.secureworks.com
52.14.113.127/32
3.141.73.137/32
3.136.78.106/32
US3
collector.foxtrot.taegis.secureworks.com
44.229.101.49
35.166.77.47
34.214.135.78
EU
collector.echo.taegis.secureworks.com
18.158.143.139/32
35.159.14.37/32
52.59.37.234/32		 TCP/443 デバイスからXDRへのアクセスの許可リスト化
データコレクターのIPまたはホスト名 プロビジョニング時に提供されたNTPサーバーのIP/ホスト名 UDP/123 デバイスからNTPサーバーへのアクセスの許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
データコレクターのIPまたはホスト名 0.pool.ntp.org
1.pool.ntp.org
2.pool.ntp.org
3.pool.ntp.org		 UDP/123 デバイスからデフォルトNTPサーバーへのアクセスの許可リスト化。

このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
データコレクターのIPまたはホスト名 プロビジョニング時に提供されたDNSサーバーのIP UDP/53
TCP/53		 デバイスからDNSサーバーへのアクセスの許可リスト化

注意

ローカルNTPを使用する場合は、これらのネットワーク上でデータコレクターとの双方向のアクセスを許可リスト化する必要があります。

AWSデータコレクターの場合🔗

ソース 宛先 ポート/プロトコル 備考
AWSデータコレクターのIPまたはホスト名
US1
collector.ctpx.secureworks.com
18.217.45.178/32
3.16.4.173/32
18.224.219.97/32
13.59.146.90/32
3.16.16.254/32
18.223.74.238/32
US2
collector.delta.taegis.secureworks.com
52.14.113.127/32
3.141.73.137/32
3.136.78.106/32
US3
collector.foxtrot.taegis.secureworks.com
44.229.101.49
35.166.77.47
34.214.135.78
EU
collector.echo.taegis.secureworks.com
18.158.143.139/32
35.159.14.37/32
52.59.37.234/32		 TCP/443 ホスト名経由でTaegis XDRへのデバイスアクセスの許可リスト化
AWSデータコレクターのIPまたはホスト名 プロビジョニング時に提供されたNTPサーバーのIP/ホスト名 UDP/123 デバイスからNTPサーバーへのアクセスの許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
AWSデータコレクターのIPまたはホスト名 169.254.169.123 UDP/123 デバイスからデフォルトNTPサーバーへのアクセスの許可リスト化。

このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
AWSデータコレクターのIPまたはホスト名 プロビジョニング時に提供されたDNSサーバーのIP UDP/53
TCP/53		 デバイスからDNSサーバーへのアクセスの許可リスト化

プロキシサポート🔗

クラウドベースおよびオンプレミスのデータコレクターは、インターネットに直接接続できない場合、ホスト上のローカルプロキシ設定を自動的に検出しようとします。

クラウドベースおよびオンプレミスのデータコレクターは、ハードコーディングされたプロキシにも対応しています。ハードコーディングされたプロキシを含むデータコレクターを作成する必要がある場合は、以下の必要情報を添えてサポートリクエストを提出してください。

  • プロキシIP
  • プロキシポート

プロキシが設定されているが利用できない、または到達できない場合、データコレクターは直接接続にフォールバックします。

注意

クラウドベースおよびオンプレミスのデータコレクターは、現時点ではハードコーディングされた認証付きプロキシをサポートしていません。中間者(MITM)機能を持つプロキシは、上記のネットワーク接続を許可リスト化する必要があります。

XDR Azure コレクターのインストールと構成🔗

XDR で XDR Azure コレクターの構成プロセスを開始するには、インテグレーション > データコレクター から開始します。これによりテンプレートが作成され、その後 Azure アカウントのコンソールに転送されて構成を完了します。

  1. Taegis XDRメニューからインテグレーションを選択し、データコレクターを選びます。

  2. 右上のアクション > コレクターの追加を選択します。

    新しいコレクターの追加

  3. コレクタータイプとしてクラウドホスト型を選択し、次へを選択します。

  4. 必須の名前とホスト名のフィールド、および任意の説明、ホストプロキシ、NTPサーバーのフィールドを入力し、コレクターの作成を選択します。

    注意

    必要に応じて独自のNTPサーバーを指定したり、HTTPプロキシアドレスを追加したりすることができます。HTTPプロキシアドレスは、次の形式に従う必要があります: [http\[s]://\[user:pass@]hostname\[:port]|http://<hostname>[:port]]

    注意

    デフォルトおよびカスタムのNTP設定は、起動時のブートストラッププロセス中のみ使用されます。接続が確立されると、データコレクターはXDRバックエンド接続を介して時刻を同期します。接続が確立されると、NTPサーバーの値はAdmiral Consolentp.collectorとして反映されます。

    クラウドコレクターの作成

    ヒント

    Cisco Firepower Threat Defense (FTD)デバイスからすべてのセキュリティイベントログを取得するためにeStreamerアプリをコレクターに追加するには、eStreamerアプリを参照してください。詳細については、Cisco FTD Firewallガイドを参照してください。

  5. コレクターのインストールセクションには、次のオプションが表示されます。

    • Amazon Web Services (AWS) — このオプションはXDRコレクターをAWSにデプロイする場合に使用します。
    • Google Cloud Platform (GCP) — このオプションはXDRコレクターをGCPにデプロイする場合に使用します。
    • Microsoft Azure — このオプションはXDRコレクターをAzureにデプロイする場合に使用します。

  6. Microsoft Azure を選択し、Deploy in Azure をクリックします。

    Azure Collector

    注意

    Download ARM Template を選択することで、json 形式の Azure Resource Manager テンプレートをダウンロードすることもできます。

    Azure コンソールは、新しいブラウザウィンドウで Template Deployment ページを表示し、コレクター用のパラメータを含む事前読み込み済みの Azure Resource Manager テンプレート(JSON)を表示します。

    Azure Configuration

  7. このデプロイメントに関連付ける Azure サブスクリプション を選択します。

  8. 既存または新規の リソースグループ を選択します。新しいリソースグループの作成を推奨します。
  9. デプロイメントの Azure リージョンを選択します。これはコレクターをデプロイしたい Azure 仮想ネットワーク と同じリージョンである必要があります。
  10. コレクターの Vm Name を入力します。
  11. コレクターの Vm Size を選択します。現在、Standard_D4s_v3 を推奨しています。これは多くのデプロイメントに対応でき、後から追加のログソースにも対応可能です。報告ソースが少ない環境ではより小さい SKU を選択することもできますが、Standard_D4s_v3 SKU の選択を推奨します。

  12. Azure 仮想ネットワーク を含むリソースグループ名を入力します。

    重要

    上記の Azure 仮想ネットワークリソース は、コレクターのデプロイ前に存在している必要があります(存在しない場合は作成する必要があります)。また、接続要件 に記載された要件を満たしている必要があります。 この要件が満たされていない場合、デプロイメントは失敗します。

  13. コレクターをデプロイする Azure 仮想ネットワーク の名前を入力します。

  14. コレクターをデプロイする Azure 仮想ネットワークサブネット の名前を入力します。
  15. オプションで、コレクターに割り当てる 静的プライベートIP のアドレスを入力するか、空欄のままにして自動割り当てにします。
  16. Utc Now フィールドはデフォルト値のままにします。これはデプロイメントの一意な名前を生成するためだけに使用されます。
  17. Random Seed フィールドもデフォルト値のままにします。これはデプロイメント中に使用される一時パスワードのランダムデータ生成に必要です。デフォルトはテンプレート実行時に作成されるランダムな GUID です。
  18. Azure Marketplace の利用規約を確認し、同意するチェックボックスをオンにします。

  19. Purchase をクリックしてデプロイメントを開始します。

    重要

    XDR でデータを受信するには、Office 365 の監査ログ記録を有効にする必要があります。Office 365 の監査ログ記録はデフォルトで無効になっています。 詳細は Turn Office 365 audit log search on or off を参照してください。

トラブルシューティングコンソールへのアクセス🔗

Admiral コンソールを使用すると、デプロイ済みの XDR Collector に関する情報にローカルでアクセスできます。Admiral 内のツールは、デバイスのセットアップやネットワーク接続などの一般的な問題のトラブルシューティングに役立ちます。

詳細は Admiral Console を参照してください。

XDR Collector 構成の編集🔗

重要

稼働中の XDR Collector 構成を変更することは、デバイスが動作不能になるリスクを伴います。構成変更が失敗した場合、XDR Collector は可能な限り前の構成にロールバックしようとします。XDR Collector の構成変更は、お客様のリスクおよび変更管理ガイドラインに従い、他の環境変更と同じレベルの注意を払って実施してください。常にデバイスの再デプロイに備えておく必要があります。

稼働中かつ正常な XDR Collector の特定の構成パラメータは、ライブコレクター上で変更できます。これらのパラメータを編集するには、アクション を選択し、コレクター詳細ページから コレクター構成の編集 を選択します。編集可能なフィールドには、ホスト名、プロキシ設定、NTP サーバーが含まれます。ネットワークインターフェース構成の変更が必要な場合は、新しい XDR Collector のプロビジョニングが必要です。

Edit Collector Details

Edit Collector Configuration Slideout

XDR Collector の構成変更を送信すると、変更が保留中であることを示すバナーが表示され、変更が完了するまで編集アクションは利用できなくなります。保留中の変更はお客様の XDR Collector にプッシュされ、適用および接続テストが実施されます。

Edit Collector Configuration Pending

保留中の変更により XDR Collector が正常に接続できなくなった場合、変更は前の構成にロールバックされ、バナーに失敗メッセージが表示されます。

Edit Collector Configuration Rolled Back

変更が成功した場合、変更完了後にバナーで成功メッセージが表示されます。

Edit Collector Configuration Success

まれに、構成変更とロールバックの両方が失敗する場合があります。例としては、変更中の基盤ネットワークの変更や、進行中の変更時のバックエンドへのネットワーク接続障害などが含まれます。このような場合、失敗バナーが表示され、XDR Collector の再デプロイが必要となります。

Edit Collector Configuration Failed

変更が完了したら、新しい Azure ARM テンプレートをダウンロードし、現在のデプロイメントにアップデートを適用してください。これにより、新しいインスタンスが作成された場合でも新しい構成が維持されます。

Manage Integrations Collector Downloads