Akamai App & API Protector🔗
Akamai App & API Protector(旧称:Kona Site Defender または Web Application Protector)をSecureworks® Taegis™ XDRと連携するには、お客様のネットワーク内のサーバーにAkamaiのSIEM CEF Connectorを展開する必要があります。Akamaiが作成したこのログ取得ツールは、XDRのようなログ集約およびセキュリティ検知プラットフォームとのインテグレーションを簡素化します。SIEM CEF Connectorのインストール後、Akamai App & API ProtectorのイベントをSyslog経由でTaegis™ XDR Collectorに送信するように設定します。Akamai App & API Protectorのイベントは、さまざまなセキュリティイベントの観測に対してリアルタイムでフィルタリングおよび相関されます。
以下の手順に従い、XDRによる監視を有効化してください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Akamai SIEM CEF Connector | XDR Collector (mgmt IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai App & API Protector | Thirdparty | HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
Akamai SIEM CEF Connector ドキュメント🔗
Akamaiのドキュメントに従い、SIEM Integrationをセットアップしてください。ステップ4では、Akamai SIEM CEF Connectorの実装手順に従ってください。
Akamai SIEM CEF Connectorが意図した通りに動作するためには、いくつかのパラメータが必要です。多くはデフォルト値のままで問題ありませんが、一部はお客様ごとのAkamai環境に固有の値(例:akamai.data.requesthostやakamai.data.baseurl)を手動で設定する必要があります。
XDRがAkamai SIEM CEF Connectorからのイベントを正しく受信・正規化するためには、Akamaiが要求する他のフィールドに加えて、以下の設定ファイル値を使用してください。
| 設定ファイル名 | パラメータ | 必要な値 |
|---|---|---|
| CEFConnector.properties | akamai.cefformatheader | CEF:0|Akamai|akamai_siem|1.0|eventClassId()|name()|severity() |
| log4j2.xml | CEFHost | XDR CollectorのIPアドレス |
| log4j2.xml | CEFPort | 601 |
| log4j2.xml | CEFProtocol | TCP |
クエリ言語検索例🔗
過去24時間のAkamai App & API Protectorイベントを検索するには:
`FROM http WHERE sensor_type = 'Akamai App & API Protector' AND EARLIEST=-24h`
特定のURLに関連するhttpイベントを検索するには:
`FROM http WHERE sensor_type = 'Akamai App & API Protector' AND uri_host = 'test.domain.com'`
特定の送信元IPアドレスに関連するhttpイベントを検索するには:
`FROM http WHERE sensor_type = 'Akamai App & API Protector' AND source_address = '11.22.33.44'`