クラウド権限の削除🔗
Secureworksのインテグレーションは、最小権限モデルを活用しており、要求される権限セットはSecureworksが統合対象データセットへの読み取り専用アクセスのみを許可します。このため、インテグレーションが削除されると、Secureworksは送信された認証情報を削除し、データの収集を停止しますが、外部に保存されているアクセス構成は手動で削除する必要があります。本ドキュメントでは、Secureworksがクラウドデータへアクセスするための権限や構成をお客様が手動で削除する方法について説明します。
AWS🔗
AWSインテグレーションは、Lambda関数を介してデータをプッシュするためにIAMロールを利用します。これらのアーティファクトはCloudFormationによって作成されるため、CloudFormationスタックを削除することで作成されたすべてのアーティファクトを削除できます。CloudFormationスタックを削除する前に、Lambda関数に関連付けられているトリガーを削除する必要があります。
CloudFormationスタックを削除するには:
- AWSコンソールにアクセスします。
-
Lambdaサービスに移動します。
AWSのLambda -
Lambda を選択し、関連するLambda関数を見つけます。名前は
stackname-scwx-tdr-lambda-for-integrationNameとなっており、stackName はスタック名(例:cloudtrail-corp)、integrationName はAWSインテグレーション名(例:awscloudtrail)です。
Lambda関数の選択 -
Lambda関数に関連付けられているトリガーを削除します。
トリガーの削除 -
削除したいインテグレーション用に作成されたCloudFormationスタックを検索します。AWS CloudFormationスタック名は、デプロイ時にユーザー入力で命名されています。
- スタック名を選択してCloudFormationスタックを選択します。
-
Delete を選択します。
AWS CloudFormationスタックの削除
Microsoft Office 365 および Azure🔗
Microsoft Office 365およびAzureインテグレーションは、アプリケーション同意プロセスを利用してSecureworksにデータアクセスを許可します。インテグレーション時の同意により、アプリケーション権限マニフェストが統合対象のAzureテナント内のセキュリティプリンシパルにコピーされます。このローカルセキュリティプリンシパルを削除することでアクセスを削除できます。
セキュリティプリンシパルを削除するには:
- Azureポータルから、エンタープライズアプリケーション サービス画面に移動します。
-
統合されたアプリケーションを検索します。以下の表を参考にしてください:
Secureworksインテグレーション アプリケーションID アプリケーション名 Microsoft 365 d020ee65-6aec-47ff-b18f-7424c8a631df RC-TDR - Office 365 Microsoft Azure Active Directory e6f06a01-1202-4e41-86d4-6a0cb45011e3 RC-TDR - Azure AD Audit Microsoft Graph Security cc4b19d5-2bcf-48d0-9633-fc1725d4f484 RC-TDR - Graph Security Microsoft Azure Activity - US1:4fdc73d3-9fdf-4b9a-95f0-0f2063ded53b
- US2: 392cab40-8474-4fa9-a108-9ce447bf8c18
- EU: 1f053f92-4e1d-4332-ba17-0f7d2ae322f3
Secureworks Taegis - Azure Activity Logs Integration -
サービスプリンシパルを選択します。管理 > プロパティ に移動し、削除 を選択します。
Azureサービスプリンシパルの削除
Okta🔗
XDR は、クライアントクレデンシャルグラントフローを利用してアプリケーションを作成し、Oktaからログを取得します。
Okta APIインテグレーションを完全に削除するには、以下の手順を実施してください: