Cisco Umbrellaインテグレーションガイド

以下の手順は、Cisco Umbrellaインテグレーションを設定し、Secureworks® Taegis™ XDRへのログ取り込みを実現するためのものです。

XDRは、Umbrellaログ取り込みのために2つのインテグレーションパスをサポートしています。

• （推奨） Cisco管理S3バケット経由で連携 — このオプションは、ログ取り込みを有効にするためにお客様の環境にXDRコンポーネントを展開する必要がないため、推奨されます。
• お客様管理S3バケット経由で連携 — このオプションは、Cisco管理S3インテグレーションと同等のデータを提供しますが、お客様のAWS環境にXDR Lambda関数の展開が必要です。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Cisco Umbrella		DNS、HTTP、Netflow

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

Cisco管理S3インテグレーションの開始

前提条件

XDRでインテグレーションを開始する前に、Umbrellaコンソールで以下の作業を完了してください。UmbrellaをCisco管理S3バケットにログを記録するよう設定するには、ベンダードキュメントの手順に従ってください。

1. Cisco管理Amazon S3ストレージを使用 を選択します。
2. テナントが存在するXDR環境に最も近いリージョンを選択します。

Taegis環境	AWSリージョン
US1	US East (Ohio)
US2	US East (Ohio)
US3	US West (Oregon)
EU1	Europe (Frankfurt)
EU2	Europe (Ireland)

3. 任意の保持期間の値を選択します。
4. 保存および続行をクリックします。

アクティベーションが完了すると、サマリーページが表示されます。Data Path、Access Key、Secret Keyの値を安全な場所にコピーしてください。これらの値は、XDRでUmbrellaインテグレーションを完了する際に使用します。

重要

Data Pathは次の形式である必要があります: cisco-managed-<Region>/<ID>。 例: cisco-managed-us-west-1/2069997_6ff2802af17337def701c2e7816cf14913zf848a。

XDRでインテグレーションを追加

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化タブからCisco Umbrellaを選択します。

   

   Cisco Umbrellaインテグレーションのセットアップ

4. 以下のフィールドを入力します。

   • Taegisインテグレーション名 — 任意の一意な文字列
   • Cisco Umbrella Access Key — 前提条件セクションで生成
   • Cisco Umbrella Secret Key — 前提条件セクションで生成
   • Cisco Umbrella Data Path — 前提条件セクションで生成

5. 完了を選択します。クラウドAPIインテグレーションテーブルに、追加されたCisco Umbrellaインテグレーションが表示されます。

お客様管理S3インテグレーションの開始

注意

XDRへのログイン権限がない場合は、権限を持つ方にアクセスが必要な手順を手伝ってもらってください。また、Secureworks®の担当者に支援を依頼することもできます。

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化タブからAWSを選択し、Cisco Umbrellaの下でセットアップを選択します。

   

   Cisco Umbrellaインテグレーションのセットアップ

4. CloudFormation Shared Resourcesのダウンロードを選択し、taegis-cloudformation-shared-resources.yamlとして保存します。

5. CloudFormation Lambdaテンプレートのダウンロードを選択し、taegis-cloudformation-lambda-template.yamlとして保存します。

6. Lambdaのダウンロードを選択し、ファイル名がtaegis-lambda-amd64.zipであることを確認します。

7. 認証情報のダウンロードを選択します。

8. すべてのファイルをダウンロードした後、作成を選択します。

Cisco Umbrella用のS3バケットを作成

1. Cisco Umbrellaドキュメントのお客様自身のS3バケットへのログ記録の有効化の手順に従ってください。
2. 作成したバケットは、CloudFormationテンプレートのNotificationBucketパラメータとなります。

Lambda実行ファイルおよびCloudFormationテンプレートをS3にアップロード

1. 対象リージョンのAWSコンソール（例：https://us-east-1.console.aws.amazon.com/cloudformation）に、ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つロールを引き受けられるロールでログインします。

2. ストレージセクションで、S3を選択します。

3. Lambda実行ファイルおよび必要に応じてCloudFormationテンプレートを保存するための新しいバケットを作成するか、既存のバケットを探します。バケットはパブリック、バージョン管理、暗号化されている必要はありません。

4. Lambdaのtaegis-lambda-amd64.zipをバケットのルートにアップロードし、バケット名を控えておきます。

5. 必要に応じて、taegis-cloudformation-shared-resources.yamlおよびtaegis-cloudformation-lambda-template.yamlも同じバケットにアップロードします。

   ヒント

   バケット名とキー（プレフィックスを含む）を控えておいてください。これらの識別子はスタック作成時に必要となります。

Lambdaデプロイメントを含む各AWSリージョンで共有リソーススタックを作成

重要

共有リソーススタック（ステップ1～11）は、AWSリージョンごとに一度だけデプロイする必要があります。

1. 対象リージョンのAWSコンソール（例：https://us-east-1.console.aws.amazon.com/cloudformation）に、ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つロールを引き受けられるロールでログインします。
2. 管理とガバナンスセクションでCloudFormationを選択します。

3. Create Stackを選択し、提供されたtaegis-cloudformation-shared-resources.yamlテンプレートを使用して新しいスタックを作成します。

   注意

   CloudFormationを選択した際、次の画像のようなCloudFormationスタックの一覧が表示される場合があります。その場合は、Create StackのドロップダウンからWith new resources (standard)を選択してください。

   

   新しいスタックの作成

4. Prepare TemplateセクションでTemplate is readyを選択します。

5. Specify TemplateセクションでAmazon S3 URLまたはUpload a template fileを選択します。

6. Amazon S3 URLを選択した場合は、事前に取得したCloudFormationオブジェクトのURLをAmazon S3 URLフィールドに入力します。例： https://cwl-poc.s3.amazonaws.com/taegis-cloudformation-shared-resources.yaml

   URLを見つけるには、S3サービスに移動し、taegis-cloudformation-shared-resources.yamlファイルをアップロードしたS3バケットを開きます。CloudFormationテンプレートを選択し、Copy URLをクリックしてください。

   

   CloudFormation URLのコピー

7. Nextを選択します。

8. 適切なスタック名を入力します。

   注意

   スタック名にはスペースを使用できません。

9. credentials.txtファイルの内容をSecretValueフィールドに入力します。

10. XDRログインURLに基づいて正しいTaegisRegionを選択します。たとえば、https://ctpx.secureworks.com/login を利用している場合はctpx、https://foxtrot.taegis.secureworks.com/ を利用している場合はfoxtrotを選択します。
11. Nextを選択します。
12. Configure stack optionsページでは、デフォルトの選択と値をそのまま使用できます。Nextを選択します。
13. Review and createページでSubmitを選択します。

Lambdaスタックの作成

注意

AWS Lambda関数は、Taegis™ XDR APIと通信するために、以下の2つのシークレットトークンを使用します。

• 10時間ごとに有効期限が切れ、XDRによってローテーションされる短期間有効なトークン
• 有効期限のない長期間有効な認証情報

1. 権限を持つアカウント（ロール、Lambda、シークレット、ポリシーの作成権限があるアカウント、またはこれらの権限を持つ別のロールを引き受けられるロール）で、対象リージョンのAWSコンソール（例：https://us-east-1.console.aws.amazon.com/cloudformation）にログインします。
2. 管理とガバナンスセクションで、CloudFormationを選択します。

3. スタックの作成を選択します。

   注意

   CloudFormationを選択した際、以下の画像のようにCloudFormationスタックの一覧が表示される場合があります。その場合は、Create Stackドロップダウンを選択し、With new resources (standard)を選択してください。

   

   Create New Stack

4. テンプレートの準備 セクションで、テンプレートの準備完了を選択します。

5. テンプレートの指定 セクションで、Amazon S3 URLを選択するか、テンプレートファイルのアップロードを選択します。

6. Amazon S3 URLを選択した場合は、事前に取得したCloudFormationオブジェクトのURLをAmazon S3 URLフィールドに入力します。例： https://cwl-poc.s3.amazonaws.com/taegis-cloudformation-lambda-template.yaml

   URLを見つけるには、S3サービスに移動し、taegis-cloudformation-lambda-template.yamlファイルがアップロードされたS3バケットを開きます。CloudFormationテンプレートを選択し、URLのコピーボタンをクリックします。

   

   Copy CloudFormation URL

7. 次へを選択します。

8. 適切なスタック名を入力します。

   注意

   スタック名にスペースは使用できません。

9. ドロップダウンからIntegrationTypeを選択します。これはNotificationBucket内のログオブジェクトの種類を示します。複数の種類がある場合や不明な場合は、genericを選択してください。

   

   Update Lambda Stack Integration Type

10. NotificationBucketフィールドには、ログが格納されているバケット名（URLやURIではなく）を入力します。

11. （オプション）今後S3通知の代わりにSNS通知を使用したい場合は、SNSNotificationarnフィールドに適切な値を入力します。
12. （オプション）NotificationBucketCustomerManagedKMSarnに、NotificationBucket内のオブジェクトを暗号化しているKMSキーARNを追加したい場合は、適切な値を入力します。KMSキーのポリシーには「IAMユーザー権限の有効化」が必要です。そうでない場合は、Lambda ARNをKMSキーに追加できます。
13. TaegisLambdaS3BucketNameフィールドには、事前にアップロードしたLambdaが格納されているS3バケット名を入力します。
14. LambdaEnvKMSarnフィールドは空のままで構いません。値を入力する場合、KMSキーには「IAMユーザー権限の有効化」が必要です。
15. EnableObjectTaggingフィールドをtrueに設定すると、処理済みオブジェクトのタグ付けが有効になります。詳細はAWS Lambdaライフサイクルポリシー管理を参照してください。
16. 残りのフィールドはデフォルトのままで構いません。
17. 次へを選択します。

残りのスタックオプションを完了する

18. スタックオプションの設定ページは任意です。
19. 次へを選択します。

20. すべてのパラメータを確認します。ステップ9からステップ15で指定したすべてのフィールドに有効な値が入力されていることを確認してください。

    

    Review Lambda Parameters

21. AWS CloudFormationがIAMリソースを作成する可能性があることを承認しますのチェックボックスを選択し、送信を選択します。

22. 少なくとも30秒待ってから、更新ボタンを選択します。処理には1分以上かかる場合があります。スタックのステータスがCREATE_COMPLETEになれば処理は完了です。セットアップセクションでダウンロードした_client_id_と_client_secret_が記載されたcredential.txtファイルは破棄してください。これらの値はAWS SecretsManagerに保存されました。

Lambdaトリガーの追加

23. AWSコンソールでLambdaサービスに切り替えます。
24. 名前で新しいLambdaを探します。デフォルト名は{STACKNAME}-scwx-tdr-lambda-{INTEGRATIONTYPE}です。例：ct-demo-scwx-tdr-lambda-awscloudtrail
25. Lambda名を選択します。そのLambdaの編集ページが表示されます。
26. 関数の概要セクションを展開し、トリガーの追加を選択します。
27. トリガー設定エディターでドロップダウンメニューからS3を選択します。オプションで、事前に作成したトピックで設定されたSNSトリガーを使用することもできます。
28. バケットオプションから、ログが格納されているバケットを見つけて選択します。
29. イベントタイプオプションからすべてのオブジェクト作成イベントを選択します。
30. プレフィックスフィールドに、ログが格納されているバケットのプレフィックスを入力します。プレフィックスを使用しない場合は空欄のままにします。
31. サフィックスフィールドは空欄のままにします。
32. Lambda関数のコスト影響を承認するためのチェックボックスをオンにします。
33. 追加を選択します。そのLambdaの設定ページが再度表示されます。トリガーの追加が成功したことを示すメッセージが上部に表示されます。例：The trigger wmikeking was successfully added to function Logs-TDR-Upload

34. これで関数はトリガーからイベントを受信するようになりました。

    重要

    AWS Lambda同時実行ガイダンス

    Taegis XDR CloudFormationテンプレート（taegis-cloudformation-lambda-template.yaml）で設定されるReserved Concurrency値は5です。Lambdaの同時実行や、お客様の環境に適した値の計算については、AWSドキュメントのLambda関数のスケーリングを参照してください。

    同時実行数の計算に使用する値の特定については、以下のAWSドキュメントを参照してください。

    • 1秒あたりの平均リクエスト数
    • 平均リクエスト時間（秒）

    AWS同時実行制限

    Lambda実行時にRate Exceededエラーが表示された場合は、AWSにクォータ増加をリクエストして同時実行制限を引き上げる必要があります。詳細はAWSドキュメントのLambdaクォータを参照してください。

    

    AWS Lambda Concurrent Execution Limit Error

検証手順

35. Lambdaランタイム設定を確認します。Runtime値は Amazon Linux 2上のカスタムランタイム である必要があります。

    

    Verify Lambda Runtime Settings

36. AWS Lambdaログのテストを参照し、AWSコンソールで統合用のAWS Lambda関数が動作しているかテストを設定して確認します。

37. AWSコンソールでインストール済みのLambda関数に移動します。エラーがある場合は、エラーの修正を選択します。

    

    Fix Lambda Errors

38. AWS Lambdaログの表示を参照し、AWS Lambda関数によって生成されたログを表示してアップロードが成功しているか確認します。これは、S3バケットに新しいデータが公開されていることを前提に、トリガーが動作していることを検証します。

    {"level":"debug","time":"2023-11-15T19:27:19Z","message":"Uploading data to s3"}

既存インテグレーションセットアップファイルのダウンロード

多くのリージョンにインテグレーションを追加する必要がある場合や、インテグレーションを完全にやり直す必要がある場合は、既存のインテグレーションファイル一式（テンプレート、Lambda、認証情報ファイルを含む）をいつでもダウンロードできます。

1. Taegis XDRメニューから、インテグレーション → クラウドAPI に移動します。
2. クラウドAPIインテグレーション テーブルから、やり直しまたは修正したいインテグレーションの行にあるアクション列のダウンロードアイコンをクリックします。

3. インテグレーションのダウンロード アイコンを選択します。ダウンロードパネルが表示されます。

   

   既存のインテグレーションファイルのダウンロード

4. 必要なファイルをダウンロードしてください。

関連トピック

• デプロイ済みAWS Lambdaのテスト
• AWS Lambdaログの表示
• インテグレーションの削除
• クラウド権限の削除

Umbrellaログの一元管理

CiscoによるMSP、MSSP、およびマルチ組織のお客様向けAmazon S3サービスを利用したUmbrellaログの一元管理について詳しくご覧ください。