コンテンツにスキップ

Abnormal Inbound Email Securityインテグレーションガイド🔗

以下の手順は、Abnormal Inbound Email Securityインテグレーションを設定し、ログをSecureworks® Taegis™ XDRに取り込むためのものです。

インテグレーションから提供されるデータ🔗

XDRがサポートするAbnormalイベントタイプは以下の通りです。

  • 脅威

  • 悪用キャンペーン

    注意

    悪用キャンペーンを利用するには、AbnormalのAI Security Mailbox製品の契約が必要です。

Detection360のログはGenericスキーマに正規化されます。

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Abnormal Inbound Email Security Email    

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

Abnormal Inbound Email Securityの設定🔗

  1. ベンダーのドキュメントを参照し、Abnormal APIを設定してください。

  2. このナレッジベース記事に記載されているIP Safelistフィールドの値を入力してください。

注意

Abnormalでは、0.0.0.0/0のようなワイルドカードIP(全IPv4アドレス)はIP Safelistの有効な値として許可されていません。

  1. API Access Tokenをコピーしてください。この値はXDRでインテグレーションを完了するために必要です。

XDRでのインテグレーションの完了🔗

  1. Taegis Menuからインテグレーション → クラウドAPIを選択します。
  2. ページ上部のインテグレーションの追加を選択します。

インテグレーションの追加

  1. 最適化されたタブから、Abnormal Email Securityカードを選択します。
  2. 以下のフィールドを入力します。
  • インテグレーション名 — 任意の一意な文字列
  • アクセストークン設定セクションで生成したもの

インテグレーションの作成

  1. 完了を選択します。管理インテグレーションページに、正常に追加されたAbnormal Email SecurityインテグレーションがクラウドAPIインテグレーションの下に表示されます。

ヒント

上記ステップ3で定義したインテグレーション名を使用して、クラウドAPIインテグレーションテーブル内でインテグレーションを識別できます。

サンプルログ🔗

Abnormal Inbound Email Securityイベント🔗

{
  "messages": [
    {
      "abxMessageId": 0651365477966049289,
      "abxPortalUrl": "https://portal.abnormalsecurity.com/home/threat-center/remediation-history/0651365477966049289",
      "attachmentCount": 0,
      "attachmentNames": [],
      "attackStrategy": "Unknown Sender",
      "attackType": "Spam",
      "attackVector": "Text",
      "attackedParty": "Employee (Other)",
      "autoRemediated": true,
      "ccEmails": [],
      "fromAddress": "user@email.com",
      "fromName": "john doe",
      "impersonatedParty": "None / Others",
      "internetMessageId": "<CAN=ZKYOYKLUBWRTCZXMOAIZEPMECVD79+-=8WYR3B6JL0YDT7BPWL@mail.email.com>",
      "isRead": false,
      "postRemediated": false,
      "receivedTime": "2024-08-07T14:30:14Z",
      "recipientAddress": "user@email.com",
      "remediationStatus": "Auto-Remediated",
      "remediationTimestamp": "2024-08-07T14:30:36.641996Z",
      "replyToEmails": [],
      "returnPath": "example@email.com",
      "senderDomain": "gmail.com",
      "senderIpAddress": null,
      "sentTime": "2024-08-07T14:29:59Z",
      "subject": "re: Conference registrants 2021",
      "summaryInsights": [
        "Unusual Sender"
      ],
      "threatId": "c1c926fc-555d-ecdc-f948-a2266c3e719b",
      "toAddresses": [
        "example@email.com"
      ],
      "urlCount": 0,
      "urls": []
    }
  ],
  "threatId": "c1c926fc-555d-ecdc-f948-a2266c3e719b"
}

クエリ言語検索例🔗

過去24時間のemailイベントを検索するには、以下のようにします。

`FROM email WHERE sensor_type = 'AbnormalSecurity' and EARLIEST=-24h`