Check Point Harmony Email Security インテグレーションガイド🔗
以下の手順は、Check Point Harmony Email Security インテグレーションを設定し、Secureworks® Taegis™ XDR へのログ取り込みを実現するためのものです。
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Check Point Harmony Email Security | Email, Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
XDR で HTTP Ingest インテグレーションを設定する🔗
ヒント
各ソースから XDR へログメッセージを送信する場合は、HTTP Ingest インテグレーションを個別に作成することを推奨します。データソースを分離することで、検索の柔軟性が向上し、正常性の監視やトラブルシューティングが容易になります。
-
XDR の ドキュメント に従い、HTTP Ingest インテグレーションを設定します。
-
Integration Key と URL を安全な場所にコピーします。
Check Point Harmony Email Security の設定🔗
-
ベンダーのドキュメント を参照し、HTTPS へのログ転送を設定します。
-
Splunk HTTP Event Collector (HEC) を Transport として選択します。
-
以下の値を入力します:
- HTTP Event Collector Host / URI: HTTP Ingest インテグレーション作成時に生成された URL。
- HTTP Event Collector Token: HTTP Ingest インテグレーション作成時に生成された Integration Key。
-
Format として JSON を選択します。
-
Save をクリックします。
Check Point Harmony Email Security から XDR へログメッセージが送信されていることを確認する🔗
-
Taegis Menu から インテグレーション → クラウドAPI を選択します。
-
クラウドAPIインテグレーション テーブル内で Harmony インテグレーションを探します(最初のセクションで定義したインテグレーション名などを利用)。
-
ステータスが 正常 であれば、XDR へのログメッセージの受信が正常に行われています。
HTTP Ingestの正常性
クエリ言語検索例🔗
過去24時間の email イベントを検索するには:
FROM email WHERE sensor_type = 'Check Point Harmony Email' and EARLIEST=-24h
「phishing」と分類された email イベントを検索するには:
FROM email WHERE sensor_type = 'Check Point Harmony Email' and threats.classification = 'phishing'