S3 Ingest - Secureworks-Managed の設定🔗
以下の手順は、S3 Ingest - Secureworks-Managed トランスポートを設定し、ログを AWS S3 バケットに送信できるデータソースからの取り込みを容易にするためのものです。S3 Ingest - Secureworks-Managed では、XDR のお客様がログ送信先の S3 バケットを所有または管理する必要はありません。
必要な情報の収集🔗
重要
この情報はデータソースベンダーから提供される必要があります。
- データソースの AWS IAM アイデンティティ(IAM ユーザー、カノニカルユーザーID、または IAM ロール)
XDR でのインテグレーションの完了🔗
XDR は、2 種類の AWS S3 取り込みインテグレーションをサポートしています。
- データソースベンダーが S3 送信先にオーナーシップチャレンジトークンの送信を要求する場合
- データソースベンダーが S3 送信先にオーナーシップチャレンジトークンの送信を要求しない場合
オーナーシップチャレンジトークンが必要な場合🔗
-
Taegis Menu から インテグレーション → クラウドAPI を選択します。
-
ページ上部の インテグレーションの追加 を選択します。
インテグレーションの追加 -
カスタムタブを選択し、S3 Ingest - Secureworks-Managed (with ownership token challenge) セクションの セットアップ を選択します。
S3 Ingest - Secureworks-Managed (Challenge Token) -
インテグレーションの名前を入力します。
-
データソースに適切なアイデンティティタイプ(IAM ユーザー、カノニカルユーザーID、または IAM ロール)を選択し、対応する値を入力します(この情報はデータソースベンダーから提供されます)。
-
完了 を選択します。
オーナーシップチャレンジトークンが不要な場合🔗
-
Taegis Menu から インテグレーション → クラウドAPI を選択します。
-
ページ上部の インテグレーションの追加 を選択します。
インテグレーションの追加 -
カスタムタブを選択し、S3 Ingest - Secureworks-Managed (without ownership token challenge) セクションの セットアップ を選択します。
S3 Ingest - Secureworks-Managed (No Challenge Token) -
インテグレーションの名前を入力します。
-
データソースに適切なアイデンティティタイプ(IAM ユーザー、カノニカルユーザーID、または IAM ロール)を選択し、対応する値を入力します(この情報はデータソースベンダーから提供されます)。
-
完了 を選択します。
インテグレーションシナリオ🔗
このセクションでは、インテグレーションのデータソース側で使用するために XDR から提供されるインテグレーションパラメータについて説明します。利用可能なインテグレーションパラメータは、オーナーシップチャレンジトークンの要否や使用するアイデンティティタイプによって異なります。
これらのパラメータは、前のセクション で作成したインテグレーションをクラウドAPIテーブルから開き、詳細 タブを選択することで確認できます。
シナリオ 1: S3 Ingest - Secureworks-Managed (without ownership token challenge) を IAM ユーザーまたはカノニカルユーザーID で利用🔗
| インテグレーションパラメータ | 値 |
|---|---|
| IAMUser / CanonicalUserID | XDR インテグレーション作成時に入力したアイデンティティ値 |
| AccessPointAlias | データソース側で S3 バケット名としてこの値を入力 |
| AWSRegion | データソース側で AWS リージョンが必要な場合、この値を入力 |
| LogFolderPath | データソース側でログ送信先の場所(パス)としてこの値を入力 |
シナリオ 2: S3 Ingest - Secureworks-Managed (without ownership token challenge) を IAM ロールで利用🔗
| インテグレーションパラメータ | 値 |
|---|---|
| IAMRole | XDR インテグレーション作成時に入力したアイデンティティ値 |
| AccessPointAlias | データソース側で S3 バケット名としてこの値を入力 |
| AWSRegion | データソース側で AWS リージョンが必要な場合、この値を入力 |
| LogFolderPath | データソース側でログ送信先の場所(パス)としてこの値を入力 |
| IAMAssumeRole | データソース側でベンダーが引き受ける必要のあるロールARNとしてこの値を入力 |
シナリオ 3: S3 Ingest - Secureworks-Managed (with ownership token challenge) を IAM ユーザーまたはカノニカルユーザーID で利用🔗
| インテグレーションパラメータ | 値 |
|---|---|
| IAMUser / CanonicalUserID | XDR インテグレーション作成時に入力したアイデンティティ値 |
| AccessPointAlias | データソース側で S3 バケット名としてこの値を入力 |
| AWSRegion | データソース側で AWS リージョンが必要な場合、この値を入力 |
| LogFolderPath | データソース側でログ送信先の場所(パス)としてこの値を入力 |
| OwnershipToken | データソース側で S3 バケットの所有権を証明するトークンとしてこの値を使用 |
シナリオ 4: S3 Ingest - Secureworks-Managed (without ownership token challenge) を IAM ロールで利用🔗
| インテグレーションパラメータ | 値 |
|---|---|
| IAMUser / CanonicalUserID | インテグレーション作成時にテナントが入力した値 |
| AccessPointAlias | データソース側で S3 バケット名としてこの値を入力 |
| AWSRegion | データソース側で AWS リージョンが必要な場合、この値を入力 |
| LogFolderPath | データソース側でログ送信先の場所(パス)としてこの値を入力 |
| IAMAssumeRole | データソース側でベンダーが引き受ける必要のあるロールARNとしてこの値を入力 |
| OwnershipToken | データソース側で S3 バケットの所有権を証明するトークンとしてこの値を使用 |