Abnormal Inbound Email Securityインテグレーションガイド🔗
以下の手順は、Abnormal Inbound Email Securityインテグレーションを設定し、Secureworks® Taegis™ XDRへのログ取り込みを実現するためのものです。
インテグレーションから提供されるデータ🔗
XDRがサポートするAbnormalイベントタイプは以下の通りです。
- 脅威
-
悪用キャンペーン
注意
悪用キャンペーンを利用するには、AbnormalのAI Security Mailbox製品の契約が必要です。
Detection360ログはGenericスキーマに正規化されます。
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Abnormal Inbound Email Security |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
Abnormal Inbound Email Securityの設定🔗
-
ベンダーのドキュメントを参照し、Abnormal APIを設定してください。
重要
インテグレーションにはRead Sensitiveアクセスレベルが必要です。
-
新規インテグレーションの場合は、IP SafelistフィールドにTaegis IPアドレス範囲セクションのリージョンごとのIPアドレス範囲を入力してください。以前にこのナレッジベース記事のIP Safelistフィールドの値を使ってインテグレーションを設定していた場合は、下記の日付から30日後までに新しいリージョンの範囲を追加し、古いアドレスを削除してください(別途案内がない限り)。
注意
Abnormalでは、
0.0.0.0/0(全IPv4アドレス)のようなワイルドカードIPはIP Safelistの有効な値として許可されていません。既存のIP許可リストをこのインテグレーション用に設定済み、または設定予定の場合は、下記Taegis IPアドレス範囲セクションのIPアドレス範囲を使用してください。
-
API Access Tokenをコピーしてください。この値はXDRでインテグレーションを完了するために必要です。
Taegis IPアドレス範囲🔗
既存のファイアウォールやAPIゲートウェイのIP許可リストをこのインテグレーション用に設定済み、または設定予定の場合は、お客様のTaegisリージョンに応じて以下のXDR IPアドレス範囲を追加してください。
| Taegisリージョン | IPアドレス範囲 |
|---|---|
| Charlie | 216.9.204.0/24 |
| Delta | 216.9.204.0/24 |
| Echo | 216.9.205.0/24 |
| Foxtrot | 216.9.206.0/24 |
| Golf | 216.9.207.0/24 |
| Hotel | 208.89.40.0/24 |
| India | 208.89.42.0/24 |
| Juliet | 208.89.41.0/24 |
| Kilo | 208.89.43.0/24 |
| Quebec | 208.89.44.0/24 |
注意
2026年6月8日現在、XDRインテグレーションに必要なIP範囲はこれらのみです。以前に古いIPアドレスを設定していた場合は、別途案内がない限り、この日付から30日後に削除することを推奨します。
XDRでのインテグレーション完了🔗
- Taegis Menuからインテグレーション → クラウドAPIを選択します。
-
ページ上部のインテグレーションの追加を選択します。

インテグレーションの追加 -
最適化されたタブからAbnormal Email Securityカードを選択します。
-
以下のフィールドを入力します。
- インテグレーション名 — 任意の一意な文字列
- アクセストークン — 設定セクションで生成したもの

インテグレーションの作成 -
完了を選択します。管理インテグレーションページに、正常に追加されたAbnormal Email SecurityインテグレーションがクラウドAPIインテグレーションの一覧に表示されます。
ヒント
上記ステップ3で定義したインテグレーション名を、クラウドAPIインテグレーションテーブル内でインテグレーションを識別するために利用できます。
サンプルログ🔗
Abnormal Inbound Email Securityイベント🔗
{
"messages": [
{
"abxMessageId": 0651365477966049289,
"abxPortalUrl": "https://portal.abnormalsecurity.com/home/threat-center/remediation-history/0651365477966049289",
"attachmentCount": 0,
"attachmentNames": [],
"attackStrategy": "Unknown Sender",
"attackType": "Spam",
"attackVector": "Text",
"attackedParty": "Employee (Other)",
"autoRemediated": true,
"ccEmails": [],
"fromAddress": "user@email.com",
"fromName": "john doe",
"impersonatedParty": "None / Others",
"internetMessageId": "<CAN=ZKYOYKLUBWRTCZXMOAIZEPMECVD79+-=8WYR3B6JL0YDT7BPWL@mail.email.com>",
"isRead": false,
"postRemediated": false,
"receivedTime": "2024-08-07T14:30:14Z",
"recipientAddress": "user@email.com",
"remediationStatus": "Auto-Remediated",
"remediationTimestamp": "2024-08-07T14:30:36.641996Z",
"replyToEmails": [],
"returnPath": "example@email.com",
"senderDomain": "gmail.com",
"senderIpAddress": null,
"sentTime": "2024-08-07T14:29:59Z",
"subject": "re: Conference registrants 2021",
"summaryInsights": [
"Unusual Sender"
],
"threatId": "c1c926fc-555d-ecdc-f948-a2266c3e719b",
"toAddresses": [
"example@email.com"
],
"urlCount": 0,
"urls": []
}
],
"threatId": "c1c926fc-555d-ecdc-f948-a2266c3e719b"
}
クエリ言語検索例🔗
過去24時間のemailイベントを検索するには:
`FROM email WHERE sensor_type = 'AbnormalSecurity' and EARLIEST=-24h`