コンテンツにスキップ

Abnormal Inbound Email Security インテグレーションガイド🔗

以下の手順は、Abnormal Inbound Email Security インテグレーションを設定し、Secureworks® Taegis™ XDR へのログ取り込みを実現するためのものです。

インテグレーションから提供されるデータ🔗

XDR でサポートされているAbnormalイベントタイプは以下の通りです。

  • 脅威
  • 悪用キャンペーン

Detection360のログはGenericスキーマに正規化されます。

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Abnormal Inbound Email Security Email    

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Abnormal Inbound Email Security の設定🔗

  1. ベンダーのドキュメント を参照し、Abnormal APIの設定を行ってください。

  2. このナレッジベース記事に記載されている IP Safelist フィールドの値を入力してください。

注意

Abnormalでは、0.0.0.0/0 のようなワイルドカードIP(すべてのIPv4アドレス)は、IP Safelistの有効な値として許可されていません。

  1. API Access Token をコピーしてください。この値は XDR でインテグレーションを完了するために必要です。

XDR でのインテグレーションの完了🔗

  1. Taegis Menu から インテグレーション → クラウドAPI を選択します。
  2. ページ上部の インテグレーションの追加 を選択します。

インテグレーションの追加

  1. 最適化されたタブから、Abnormal Email Security カードを選択します。
  2. 以下のフィールドを入力します。
  • インテグレーション名 — 任意の一意な文字列
  • アクセストークン設定 セクションで生成したもの

インテグレーションの作成

  1. 完了 を選択します。正常に追加された Abnormal Email Security インテグレーションがクラウドAPIインテグレーションの一覧に表示されます。

ヒント

上記ステップ3で定義したインテグレーション名を使用して、クラウドAPIインテグレーションテーブル内でインテグレーションを識別できます。

サンプルログ🔗

Abnormal Inbound Email Security イベント🔗

{
  "messages": [
    {
      "abxMessageId": 0651365477966049289,
      "abxPortalUrl": "https://portal.abnormalsecurity.com/home/threat-center/remediation-history/0651365477966049289",
      "attachmentCount": 0,
      "attachmentNames": [],
      "attackStrategy": "Unknown Sender",
      "attackType": "Spam",
      "attackVector": "Text",
      "attackedParty": "Employee (Other)",
      "autoRemediated": true,
      "ccEmails": [],
      "fromAddress": "user@email.com",
      "fromName": "john doe",
      "impersonatedParty": "None / Others",
      "internetMessageId": "<CAN=ZKYOYKLUBWRTCZXMOAIZEPMECVD79+-=8WYR3B6JL0YDT7BPWL@mail.email.com>",
      "isRead": false,
      "postRemediated": false,
      "receivedTime": "2024-08-07T14:30:14Z",
      "recipientAddress": "user@email.com",
      "remediationStatus": "Auto-Remediated",
      "remediationTimestamp": "2024-08-07T14:30:36.641996Z",
      "replyToEmails": [],
      "returnPath": "example@email.com",
      "senderDomain": "gmail.com",
      "senderIpAddress": null,
      "sentTime": "2024-08-07T14:29:59Z",
      "subject": "re: Conference registrants 2021",
      "summaryInsights": [
        "Unusual Sender"
      ],
      "threatId": "c1c926fc-555d-ecdc-f948-a2266c3e719b",
      "toAddresses": [
        "example@email.com"
      ],
      "urlCount": 0,
      "urls": []
    }
  ],
  "threatId": "c1c926fc-555d-ecdc-f948-a2266c3e719b"
}

クエリ言語検索例🔗

過去24時間の email イベントを検索するには、以下のようにします。

`FROM email WHERE sensor_type = 'AbnormalSecurity' and EARLIEST=-24h`