Anomaliインテグレーションガイド

以下の手順は、Anomaliを設定して脅威インジケーターをSecureworks® Taegis™ XDRに取り込み、Bring Your Own Threat Intel検知機を通じて検出を生成する方法です。

注意

テナントごとにアクティブなインジケーターの上限は15,000件です。インジケーターが上限に達した場合、最も古いインジケーターから削除され、上限を超えないように維持されます。

Anomaliの要件

XDRと連携するには、Anomaliアカウントのユーザー名とAPIキーが必要です。

インテグレーションから提供されるデータ

脅威インジケーターリストには、以下のデータタイプが含まれます。

• IPアドレス
• ドメイン
• URL
• ファイルハッシュ（SHA1、SHA256、MD5）

XDRでのインテグレーション追加

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化タブからAnomaliを選択します。

   

   新しいAnomaliインテグレーションの作成

4. 以下のフィールドを入力します。

   • インテグレーション名 — このインテグレーションがXDRで使用する名前
   • Anomaliユーザー名
   • Anomali APIキー

5. 完了を選択します。クラウドAPIインテグレーションページに、正常に追加されたAnomaliインテグレーションが表示されます。

上記の手順が完了すると、Anomaliインテグレーションの詳細はクラウドAPIで確認できます。Taegis Menuからインテグレーション → クラウドAPIを選択してください。

検出の重大度

Anomaliはインジケーターの重大度を提供し、その重大度がXDRのBYOTI検出に設定されます。Anomaliの重大度とXDRの重大度のマッピングは以下の通りです。

Anomali重大度	XDR重大度
Very-High	重大
High	高
Medium	中
Low	低
	情報

クエリ言語検索例

過去24時間のBring Your Own Threat Intel検出を検索するには：

FROM detection metadata.creator.detector.detector_id='app:detect:byoti' and EARLIEST=-24h

関連トピック

• APIインテグレーションのステータスと正常性の確認
• インテグレーションの削除
• Bring Your Own Threat Intel検知機