Akamai App and API Protector🔗
Akamai App & API Protector(旧称:Kona Site Defender または Web Application Protector)をSecureworks® Taegis™ XDRと連携するには、AkamaiのSIEM CEF Connectorをお客様のネットワーク内のサーバーに導入する必要があります。Akamaiが作成したこのログ取得ツールは、XDRのようなログ集約およびセキュリティ検出プラットフォームとのインテグレーションを簡素化します。SIEM CEF Connectorのインストール後、Akamai App & API ProtectorのイベントをSyslog経由でTaegis™ XDR Collectorに送信するよう設定します。Akamai App & API Protectorのイベントは、さまざまなセキュリティイベントの観測のためにリアルタイムでフィルタリングおよび相関されます。
以下の手順に従い、XDRによる監視の連携と有効化を行ってください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Akamai SIEM CEF Connector | XDR Collector (mgmt IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai App & API Protector | Thirdparty | HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Akamai SIEM CEF Connector ドキュメント🔗
Akamaiのドキュメントに従い、SIEM Integrationをセットアップしてください。ステップ4では、Akamai SIEM CEF Connectorの実装手順に従ってください。
Akamai SIEM CEF Connectorが意図した通りに動作するためには、いくつかのパラメータが必要です。多くはデフォルト値のままで問題ありませんが、akamai.data.requesthostやakamai.data.baseurlなど、お客様のAkamai環境ごとに固有の値を手動で設定する必要がある項目もあります。
XDRがAkamai SIEM CEF Connectorからのイベントを正しく受信・正規化するためには、Akamaiが要求する他のフィールドに加え、以下の設定ファイル値を使用してください。
| 設定ファイル名 | パラメータ | 必要な値 |
|---|---|---|
| CEFConnector.properties | akamai.cefformatheader | CEF:0|Akamai|akamai_siem|1.0|eventClassId()|name()|severity() |
| log4j2.xml | CEFHost | XDR CollectorのIPアドレス |
| log4j2.xml | CEFPort | 601 |
| log4j2.xml | CEFProtocol | TCP |
クエリ言語検索例🔗
過去24時間のAkamai App & API Protectorイベントを検索するには:
`FROM http WHERE sensor_type = 'Akamai App & API Protector' AND EARLIEST=-24h`
特定のURLに関連するhttpイベントを検索するには:
`FROM http WHERE sensor_type = 'Akamai App & API Protector' AND uri_host = 'test.domain.com'`
特定の送信元IPアドレスに関連するhttpイベントを検索するには:
`FROM http WHERE sensor_type = 'Akamai App & API Protector' AND source_address = '11.22.33.44'`