Cisco Umbrellaインテグレーションガイド

以下の手順は、Secureworks® Taegis™ XDRへのログ取り込みを実現するためのCisco Umbrellaインテグレーションの設定方法です。

XDRは、Umbrellaログ取り込みのために2つのインテグレーションパスをサポートしています。

• （推奨） Cisco管理S3バケット経由で連携 — このオプションは、ログ取り込みを有効にするためにお客様の環境にXDRコンポーネントを展開する必要がないため、推奨されます。
• お客様管理S3バケット経由で連携 — このオプションは、Cisco管理S3連携と同等のデータを提供しますが、お客様のAWS環境にXDR Lambda関数の展開が必要です。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Cisco Umbrella		DNS、HTTP、Netflow

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Cisco管理S3インテグレーションの開始

前提条件

XDRでインテグレーションを開始する前に、Umbrellaコンソールで以下の作業を完了してください。UmbrellaをCisco管理S3バケットにログを記録するように設定するには、ベンダードキュメントの手順に従ってください。

1. Use Cisco-managed Amazon S3 storage を選択します。
2. テナントが存在するXDR環境に最も近いRegionを選択します。

Taegis環境	AWSリージョン
US1	US East (Ohio)
US2	US East (Ohio)
US3	US West (Oregon)
EU1	Europe (Frankfurt)
EU2	Europe (Ireland)

3. 任意のRetention Duration値を選択します。
4. SaveおよびContinueをクリックします。

アクティベーションが完了すると、サマリーページが表示されます。Data Path、Access Key、Secret Keyの値を安全な場所にコピーしてください。これらの値は、XDRでUmbrellaインテグレーションを完了する際に使用します。

重要

Data Pathは次の形式である必要があります: cisco-managed-<Region>/<ID>。 例: cisco-managed-us-west-1/2069997_6ff2802af17337def701c2e7816cf14913zf848a。

XDRでインテグレーションを追加

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化タブからCisco Umbrellaを選択します。

   

   Cisco Umbrellaインテグレーションのセットアップ

4. 以下のフィールドを入力します。

   • Taegisインテグレーション名 — 任意の一意な文字列
   • Cisco Umbrella Access Key — 前提条件セクションで生成
   • Cisco Umbrella Secret Key — 前提条件セクションで生成
   • Cisco Umbrella Data Path — 前提条件セクションで生成

5. 完了を選択します。クラウドAPIインテグレーションテーブルに、正常に追加されたCisco Umbrellaインテグレーションが表示されます。

お客様管理S3インテグレーションの開始

注意

XDRへのログイン権限がない場合は、権限を持つ方にアクセスが必要な手順を手伝ってもらってください。また、支援が必要な場合はSecureworks®の担当者にご連絡ください。

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化タブからAWSを選択し、Cisco Umbrellaの下でセットアップを選択します。

   

   Cisco Umbrellaインテグレーションのセットアップ

4. CloudFormation Shared Resourcesのダウンロードを選択し、taegis-cloudformation-shared-resources.yamlとして保存します。

5. CloudFormation Lambdaテンプレートのダウンロードを選択し、taegis-cloudformation-lambda-template.yamlとして保存します。

6. Lambdaのダウンロードを選択し、ファイル名がtaegis-lambda-amd64.zipであることを確認します。

7. 認証情報のダウンロードを選択します。

8. すべてのファイルをダウンロードした後、作成を選択します。

Cisco Umbrella用のS3バケットを作成

1. Cisco UmbrellaドキュメントのEnable Logging to Your Own S3 Bucketの手順に従ってください。
2. 作成したバケットは、CloudFormationテンプレートのNotificationBucketパラメータとなります。

Lambda実行ファイルおよびCloudFormationテンプレートをS3にアップロード

1. 対象リージョンのAWSコンソール（例：https://us-east-1.console.aws.amazon.com/cloudformation）に、ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つロールを引き受けることができるロールでログインします。

2. ストレージセクションで、S3を選択します。

3. Lambda実行ファイルおよび必要に応じてCloudFormationテンプレートを格納するための新しいバケットを作成するか、既存のバケットを探します。バケットはパブリック、バージョン管理、暗号化である必要はありません。

4. Lambdaのtaegis-lambda-amd64.zipをバケットのルートにアップロードし、バケット名を控えておきます。

5. 必要に応じて、taegis-cloudformation-shared-resources.yamlおよびtaegis-cloudformation-lambda-template.yamlも同じバケットにアップロードします。

   ヒント

   バケット名とキー（プレフィックスを含む）を控えておいてください。これらの識別子はスタック作成時に必要となります。

Lambdaデプロイメントを含む各AWSリージョンで共有リソーススタックを作成

重要

共有リソーススタック（ステップ1～11）は、AWSリージョンごとに一度だけデプロイする必要があります。

1. 対象リージョンのAWSコンソール（例：https://us-east-1.console.aws.amazon.com/cloudformation）に、ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つロールを引き受けることができるロールでログインします。
2. 管理とガバナンスセクションで、CloudFormationを選択します。

3. taegis-cloudformation-shared-resources.yaml テンプレートを使用して新しいスタックを作成するために、スタックの作成を選択します。

   注意

   CloudFormationを選択した際、次の画像のようにCloudFormationスタックの一覧が表示される場合があります。その場合は、スタックの作成ドロップダウンを選択し、新しいリソース（標準）で作成を選択してください。

   

   新しいスタックの作成

4. テンプレートの準備 セクションで、テンプレートの準備完了を選択します。

5. テンプレートの指定 セクションで、Amazon S3 URLを選択するか、テンプレートファイルのアップロードを選択します。

6. Amazon S3 URLを選択した場合は、事前に取得したCloudFormationオブジェクトのURLをAmazon S3 URLフィールドに入力します。例： https://cwl-poc.s3.amazonaws.com/taegis-cloudformation-shared-resources.yaml

   URLを見つけるには、S3サービスに移動し、taegis-cloudformation-shared-resources.yamlファイルをアップロードしたS3バケットを開きます。CloudFormationテンプレートを選択し、URLのコピーをクリックします。

   

   CloudFormation URLのコピー

7. 次へを選択します。

8. 適切なスタック名を入力します。

   注意

   スタック名にはスペースを使用できません。

9. credentials.txtファイルの内容をSecretValueフィールドに入力します。

10. XDRログインURLに基づいて、正しいTaegisRegionを選択します。たとえば、https://ctpx.secureworks.com/login を使用している場合はctpx、https://foxtrot.taegis.secureworks.com/ を使用している場合はfoxtrotを選択します。
11. 次へを選択します。
12. スタックオプションの設定ページでは、デフォルトの選択と値をそのまま使用できます。次へを選択します。
13. 確認と作成ページで、送信を選択します。

Lambdaスタックの作成

注意

AWS Lambda関数は、Taegis™ XDR APIと通信するために、以下の2つのシークレットトークンを使用します。

• 10時間ごとに有効期限が切れ、XDRによってローテーションされる短命トークン
• 有効期限のない長期認証情報

1. ロール、Lambda、シークレット、ポリシーの作成権限を持つアカウント、またはこれらの権限を持つ別のロールを引き受けることができるロールを使用して、対象リージョンのAWSコンソール（例：https://us-east-1.console.aws.amazon.com/cloudformation）にログインします。
2. 管理とガバナンスセクションで、CloudFormationを選択します。

3. スタックの作成を選択します。

   注意

   CloudFormationを選択した際、次の画像のようにCloudFormationスタックの一覧が表示される場合があります。その場合は、Create Stackドロップダウンを選択し、With new resources (standard)を選択してください。

   

   Create New Stack

4. テンプレートの準備 セクションで、テンプレートの準備完了を選択します。

5. テンプレートの指定 セクションで、Amazon S3 URLを選択するか、テンプレートファイルのアップロードを選択します。

6. Amazon S3 URLを選択した場合は、事前に取得したCloudFormationオブジェクトのURLをAmazon S3 URLフィールドに入力します。例： https://cwl-poc.s3.amazonaws.com/taegis-cloudformation-lambda-template.yaml

   URLを見つけるには、S3サービスに移動し、taegis-cloudformation-lambda-template.yamlファイルがアップロードされたS3バケットを開きます。CloudFormationテンプレートを選択し、URLのコピーボタンをクリックします。

   

   Copy CloudFormation URL

7. 次へを選択します。

8. 適切なスタック名を入力します。

   注意

   スタック名にスペースは使用できません。

9. ドロップダウンからIntegrationTypeを選択します。これはNotificationBucket内にあるログオブジェクトの種類を示します。複数の種類がある場合や不明な場合は、genericを選択してください。

   

   Update Lambda Stack Integration Type

10. NotificationBucketフィールドには、ログが格納されているバケット名（URLやURIではなく）を入力します。

11. （オプション）今後S3通知の代わりにSNS通知を使用したい場合は、SNSNotificationarnフィールドに適切な値を入力します。
12. （オプション）NotificationBucketCustomerManagedKMSarnに、NotificationBucket内のオブジェクトを暗号化しているKMSキーARNを追加したい場合は、適切な値を入力します。KMSキーのポリシーには「IAMユーザー権限の有効化」が必要です。そうでない場合は、Lambda ARNをKMSキーに追加できます。
13. TaegisLambdaS3BucketNameフィールドには、事前にアップロードしたLambdaが格納されているS3バケット名を入力します。
14. LambdaEnvKMSarnフィールドは空のままで構いません。値を入力する場合、KMSキーには「IAMユーザー権限の有効化」が必要です。
15. EnableObjectTaggingフィールドをtrueに設定すると、処理済みオブジェクトのタグ付けが有効になります。詳細はAWS Lambdaライフサイクルポリシー管理を参照してください。
16. 残りのフィールドはデフォルトのままで構いません。
17. 次へを選択します。

残りのスタックオプションを完了する

18. スタックオプションの設定ページは任意です。
19. 次へを選択します。

20. すべてのパラメータを確認します。ステップ9からステップ15で指定したすべてのフィールドに有効な値が入力されていることを確認してください。

    

    Review Lambda Parameters

21. AWS CloudFormationがIAMリソースを作成する可能性があることを承認しますのチェックボックスを選択し、送信を選択します。

22. 少なくとも30秒待ってから、更新ボタンを選択します。処理が完了するまで1分以上かかる場合があります。スタックのステータスがCREATE_COMPLETEになれば処理は完了です。セットアップセクションでダウンロードした_client_id_および_client_secret_が記載されたcredential.txtファイルは破棄してください。これらの値はAWS SecretsManagerに保存されました。

Lambdaトリガーの追加

23. AWSコンソールでLambdaサービスに切り替えます。
24. 名前で新しいLambdaを探します。デフォルト名は{STACKNAME}-scwx-tdr-lambda-{INTEGRATIONTYPE}です。例：ct-demo-scwx-tdr-lambda-awscloudtrail
25. Lambda名を選択します。そのLambdaの編集ページが表示されます。
26. 関数の概要セクションを展開し、トリガーの追加を選択します。
27. トリガー構成エディタでドロップダウンメニューからS3を選択します。オプションで、事前に作成したトピックで構成されたSNSトリガーを使用することもできます。
28. バケットオプションから、ログが格納されているバケットを見つけて選択します。
29. イベントタイプオプションからすべてのオブジェクト作成イベントを選択します。
30. プレフィックスフィールドには、ログが格納されているバケットのプレフィックスを入力します。プレフィックスがない場合は空欄のままにします。
31. サフィックスフィールドは空欄のままにします。
32. Lambda関数のコスト影響を認識するためのチェックボックスをオンにします。
33. 追加を選択します。そのLambdaの構成ページが再度表示されます。トリガーの追加が成功したことを示すメッセージが上部に表示されます。例：The trigger wmikeking was successfully added to function Logs-TDR-Upload

34. この関数は、トリガーからイベントを受信するようになりました。

    重要

    AWS Lambda同時実行ガイダンス

    Taegis XDR CloudFormationテンプレート（taegis-cloudformation-lambda-template.yaml）で設定されるReserved Concurrency値は5です。Lambdaの同時実行や、お客様の環境に適した値の計算方法については、AWSドキュメントのLambda関数のスケーリングを参照してください。

    同時実行数の計算に使用する値については、以下のAWSドキュメントを参照してください。

    • 1秒あたりの平均リクエスト数
    • 平均リクエスト継続時間（秒）

    AWS同時実行制限

    Lambda実行時にRate Exceededエラーが表示された場合は、AWSにクォータ増加をリクエストして同時実行制限を引き上げる必要があります。詳細はAWSドキュメントのLambdaクォータを参照してください。

    

    AWS Lambda Concurrent Execution Limit Error

検証手順

35. Lambdaランタイム設定を確認します。Runtime値は Custom runtime on Amazon Linux 2 である必要があります。

    

    Verify Lambda Runtime Settings

36. AWSコンソールでテストを構成し、インテグレーション用のAWS Lambda関数が動作していることを確認するには、AWS Lambdaログのテストを参照してください。

37. AWSコンソールでインストール済みのLambda関数に移動します。エラーがある場合は、エラーの修正を選択します。

    

    Fix Lambda Errors

38. AWS Lambda関数によって生成されたログを表示し、アップロードが成功していることを確認するには、AWS Lambdaログの表示を参照してください。これは、S3バケットに新しいデータが公開されていることを前提に、トリガーが正常に動作していることを検証します。

    {"level":"debug","time":"2023-11-15T19:27:19Z","message":"Uploading data to s3"}

既存インテグレーションセットアップファイルのダウンロード

多くのリージョンにインテグレーションを追加する必要がある場合や、インテグレーションを完全にやり直す必要がある場合は、テンプレート、Lambda、認証情報ファイルを含む既存のインテグレーションファイル一式をいつでもダウンロードできます。

1. Taegis XDRメニューから、インテグレーション → クラウドAPI に移動します。

2. クラウドAPIインテグレーション テーブルから、やり直しまたは修正したいインテグレーションの行にあるアクション列のダウンロードアイコンをクリックします。

3. インテグレーションのダウンロード アイコンを選択します。ダウンロードパネルが表示されます。

   

   既存のインテグレーションファイルのダウンロード

4. 必要なファイルをダウンロードします。

関連トピック

• デプロイ済みAWS Lambdaのテスト
• AWS Lambdaログの表示
• インテグレーションの削除
• クラウド権限の削除

Umbrellaログの集中管理

CiscoによるMSP、MSSP、およびマルチ組織顧客向けのAmazon S3サービスを利用したUmbrellaログの集中管理について詳しくご覧ください。