Amazon GuardDutyインテグレーションガイド

Secureworks® Taegis™ XDRとAmazon GuardDutyのインテグレーションは、Amazon GuardDuty API経由のみで利用可能です。Cloudwatch EventsやS3経由でのインテグレーションは現在サポートされていません。また、インテグレーションにリンクできるAWSアカウントは1つのみです。Amazon GuardDutyマスターアカウントアーキテクチャ（AWSのドキュメント: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html）を利用している場合は、以下の手順でAmazon GuardDutyマスターアカウントのアカウントIDを使用してください。AWS Organizationsを利用している場合、Amazon GuardDutyアカウントはAWS Organizationsのマスターアカウントとは異なる場合があります。

お客様のAmazon GuardDutyデータをXDRと連携するには、XDRに読み取り専用アクセス権を付与するAWS Identity and Access Management（IAM）ロールを手動で作成し、このロール名とAWSアカウントIDをXDRに入力する必要があります。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Amazon GuardDuty			Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Amazon GuardDutyのセットアップ

開始するには、以下の手順に従ってください。

ヒント

作業中は、AWSコンソールで別々のブラウザタブを開いておくと便利です。1つは作成したポリシーを確認するため、もう1つは作成するロール用です。

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化されたタブからAWSを選択し、Amazon GuardDutyの下にあるセットアップを選択します。

   

   GuardDutyインテグレーションの追加

4. 以下の詳細を入力します。

   • 接続の識別名
   • お客様のAmazonアカウントID
   • お客様の組織に固有のExternal ID（自動的に提供されます）
   • Amazon IAMロール（以降の手順で作成します）

   

   GuardDutyインテグレーションのセットアップ

5. IAMコンソールにアクセスし、インテグレーションを設定したいアカウントにログインしていることを確認します。ポリシーの作成をクリックします。

6. JSONボタンをクリックし、以下のポリシーをフォームにコピー＆ペーストします。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Action": [
           "guardduty:ListDetectors",
           "guardduty:GetDetector",
           "guardduty:ListFindings",
           "guardduty:GetFindings",
           "guardduty:GetMasterAccount"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }
   

   注意

   これらの正確な権限を持つAWSロールを作成し、その後XDRのAWS GuardDutyインテグレーションが正しく機能することを確認することを推奨します。

   このポリシーは、お客様のAmazon GuardDutyデータに対してXDRに読み取り専用アクセスを付与します。読み取り専用IAMロールの詳細については、Amazon GuardDutyユーザーガイドのアクセス管理を参照してください。

7. 次へをクリックします。

8. ポリシーの説明的な名前（例：SecureworksAWSGuardDutyIntegrationPolicy）と、必要に応じて説明を入力します。ポリシーの作成をクリックします。

9. IAMコンソールで、インテグレーションを設定したいアカウントにログインしていることを確認し、ロールの作成をクリックします。

10. 信頼されたエンティティの種類としてAWSアカウントを選択します。

    

    信頼されたエンティティの選択

11. 別のAWSアカウントを選択し、以下のSecureworks アカウントIDを入力します：927866642148。

    

    アカウントIDの入力

12. 外部IDの必須化オプションを有効にし、ステップ4でXDRに表示されたExternal IDを入力します。

    

    アカウントIDとExternal IDの入力

13. MFAの必須化オプションは無効のままにし、次へをクリックします。

14. ステップ8で作成したポリシー名を選択し、次へをクリックします。

15. ロールの説明的な名前（例：SecureworksAWSGuardDutyIntegrationRole）と、必要に応じて説明を入力します。必要に応じてタグを追加し、ロールの作成をクリックします。

    注意

    次のステップで使用するためにロール名をコピーしてください。

16. XDRのセットアップページに戻り、ステップ15で作成したIAMロール名を入力します。

    

    IAMロールの入力

17. 保存を選択してインテグレーションを完了します。

18. クラウドAPIでインテグレーションのステータスを確認します。

    

    インテグレーションステータスと詳細の表示