EDR OCSF取り込みインテグレーションガイド 🔗
以下の手順に従い、EDR製品とSecureworks® Taegis™ XDRを業界標準のOCSF(Open Cybersecurity Schema Framework)データフォーマットで連携してください。
このインテグレーションを利用するには、EDR製品がOCSFイベントのバッチをAmazon S3バケットにアップロードできる必要があります。バッチはJSON Lines形式(改行区切りJSONとも呼ばれます)で、gzipで圧縮されている必要があります。
インテグレーションから提供されるデータ🔗
| 検出 | Auth | DNS | ファイル収集 | HTTP | NIDS | Netflow | Process | ファイル変更 | API Call | Registry | Scriptblock | Management | Persistence | Thread Injection | 検出結果 | テクニックの検出結果 | Generic | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| EDR OCSF取り込み | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
必要な情報の収集🔗
重要
この情報は、HarfangLabなどのEDRベンダーから提供される必要があります。
- EDRベンダー名
- お客様のEDRベンダー内での一意のテナント識別子
-
EDR製品で使用されるAWSプリンシパルの識別子(以下のいずれかがサポートされています):
- IAM User ARN — 例:
arn:aws:iam::123456789012:user/MyEDR - Canonical User ID — 例:
79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be - IAM Role ARN — 例:
arn:aws:iam::123456789012:role/MyEDR
- IAM User ARN — 例:
XDRでEDR OCSF取り込みインテグレーションを作成🔗
- Taegis Menuからインテグレーション > クラウドAPIに移動し、インテグレーションの追加を選択します。
- カスタムタブを選択します。
- EDR OCSF取り込みセクションでセットアップを選択します。
- インテグレーションの名前を入力します。
- EDRベンダー名を入力します。
- お客様のEDRベンダー内での一意のテナント識別子を入力します。
- EDR製品に適したAWSプリンシパルの種類(IAM User、Canonical User ID、またはIAM Role)を選択し、対応する識別子を入力します。この情報はEDRベンダーから提供されます。
-
完了を選択します。
XDRインテグレーションの作成 -
クラウドAPIインテグレーションテーブルで新しいインテグレーションを選択し、詳細タブを選択します。
-
以下のインテグレーションパラメータの値を控えてください。
- AccessPointAlias
- AWSRegion
- IAMAssumeRole(EDR製品がIAMロールを使用する場合)
インテグレーション詳細の確認
EDR製品でのOCSFエクスポートの設定🔗
- お使いのEDRベンダーの手順に従い、OCSFイベントエクスポートを設定してください。前のセクションで取得したインテグレーションパラメータを以下のように使用します。
| インテグレーションパラメータ | 用途 |
|---|---|
| AccessPointAlias | S3バケット名 |
| AWSRegion | S3バケットのAWSリージョン(必要な場合) |
| IAMAssumeRole | EDR製品が引き受ける必要があるIAMロール(EDR製品がIAMロールを使用する場合) |