Akamai Enterprise Application Access (EAA) インテグレーションガイド🔗
Akamai Enterprise Application Access (EAA) を Secureworks® Taegis™ XDR と連携するには、Akamai の Unified Log Streamer (ULS) の実装に関するガイダンスに従う必要があります。Akamai ULS は、XDR のような拡張検知および対応 (XDR) 製品とのインテグレーションを簡素化するために設計されています。Akamai ULS の実装が完了したら、Akamai ULS を設定して Akamai EAA イベントを syslog 経由で Taegis™ XDR Collector に送信できます。Akamai EAA イベントは、さまざまなセキュリティイベントの観測のためにリアルタイムでフィルタリングおよび相関されます。
以下の手順に従い、XDR による監視を連携・有効化してください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Akamai ULS | XDR Collector (mgmt IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai Enterprise Application Access (EAA) | Auth, HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Akamai の要件🔗
XDR と Akamai EAA のインテグレーションには、Akamai の Unified Log Streamer (ULS) が必要です。Akamai から入手可能です。Akamai Unified Log Streamer (ULS) の実装については、Akamai のドキュメントに従ってください。
Akamai Unified Log Streamer (ULS) 出力ガイダンス🔗
Akamai ULS の実装後、ULS OUTPUT を定義し、Akamai EAA イベントを syslog 経由で XDR Collector に送信する必要があります。パラメータの定義には以下を使用してください。
Akamai ULS 設定パラメータ🔗
共通 ULS 環境パラメータ🔗
入力パラメータ🔗
- ULS_INPUT = EAA
- ULS_FORMAT = JSON
出力パラメータ🔗
- ULS_OUTPUT = TCP
- ULS_OUTPUT_HOST = XDR Collector IP
- ULS_OUTPUT_PORT = 601
固有の EAA アクセス環境パラメータ🔗
入力パラメータ🔗
- ULS_FEED = ACCESS
出力パラメータ🔗
- ULS_TCPUDP_FORMAT =
'{"api_host": "{api_hostname}", "ulsfeed": "Akamai-{uls_input}-{uls_feed}", "event": %s}'
固有の EAA 管理環境パラメータ🔗
入力パラメータ🔗
- ULS_FEED = ADMIN
出力パラメータ🔗
- ULS_TCPUDP_FORMAT =
'{"api_host": "{api_hostname}", "ulsfeed": "Akamai-{uls_input}-{uls_feed}", "event": %s}'
Akamai EAA イベントは、Akamai ULS を介して XDR に記録されるようになりました。
クエリ言語検索例🔗
過去24時間の auth イベントを検索するには:
`FROM auth WHERE sensor_type = 'Akamai EAA' and EARLIEST=-24h`
過去24時間の http イベントを検索するには:
`FROM http WHERE sensor_type = 'Akamai EAA' and EARLIEST=-24h`