EDR OCSF取り込みインテグレーションガイド 🔗
以下の手順に従い、EDR製品とSecureworks® Taegis™ XDRの間で、業界標準のOCSF(Open Cybersecurity Schema Framework)データフォーマットを使用したインテグレーションを構成してください。
このインテグレーションを利用するには、EDR製品がOCSFイベントのバッチをAmazon S3バケットにアップロードできる必要があります。バッチはJSON Lines形式(改行区切りJSONとも呼ばれます)で、gzipで圧縮されている必要があります。
インテグレーションから提供されるデータ🔗
| 検出 | Auth | DNS | ファイル収集 | HTTP | NIDS | Netflow | Process | ファイル変更 | API Call | Registry | Scriptblock | Management | Persistence | スレッドインジェクション | 発見事項(検出) | 発見事項(テクニック) | Generic | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| EDR OCSF取り込み | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
必要な情報の収集🔗
重要
この情報は、HarfangLabなどのEDRベンダーから提供される必要があります。
- EDRベンダーの名称
- EDRベンダー内でのお客様のテナントの一意の識別子
-
EDR製品で使用されるAWSプリンシパルの識別子(以下のいずれかがサポートされています):
- IAM User ARN — 例:
arn:aws:iam::123456789012:user/MyEDR - Canonical User ID — 例:
79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be - IAM Role ARN — 例:
arn:aws:iam::123456789012:role/MyEDR
- IAM User ARN — 例:
XDRでEDR OCSF取り込みインテグレーションを作成🔗
- Taegis Menuからインテグレーション > クラウドAPIに移動し、インテグレーションの追加を選択します。
- カスタムタブを選択します。
- EDR OCSF取り込みセクションでセットアップを選択します。
- インテグレーションの名前を入力します。
- EDRベンダーの名称を入力します。
- EDRベンダー内でのお客様のテナントの一意の識別子を入力します。
- EDR製品に適したAWSプリンシパルの種類(IAM User、Canonical User ID、またはIAM Role)を選択し、対応する識別子を入力します。この情報はEDRベンダーから提供されます。
-
完了を選択します。
XDRインテグレーションの作成 -
クラウドAPIインテグレーションテーブルで新しいインテグレーションを選択し、詳細タブを選択します。
-
以下のインテグレーションパラメータの値を控えてください。
- AccessPointAlias
- AWSRegion
- IAMAssumeRole(EDR製品がIAMロールを使用する場合)
インテグレーション詳細の確認
EDR製品でのOCSFエクスポートの設定🔗
- お使いのEDRベンダーの手順に従い、OCSFイベントエクスポートを構成してください。前のセクションで取得したインテグレーションパラメータを以下のように使用します。
| インテグレーションパラメータ | 用途 |
|---|---|
| AccessPointAlias | S3バケット名 |
| AWSRegion | S3バケットのAWSリージョン(必要な場合) |
| IAMAssumeRole | EDR製品が引き受ける必要があるIAMロール(EDR製品がIAMロールを使用する場合) |