S3 Ingest - Secureworks-Managed の設定🔗
以下の手順は、AWS S3バケットにログを送信できるデータソースからの取り込みを容易にするための、S3 Ingest - Secureworks-Managedトランスポートの設定方法です。S3 Ingest - Secureworks-Managedは、XDRのお客様がログ送信先のS3バケットを所有または管理する必要はありません。
必要な情報の収集🔗
重要
この情報はデータソースベンダーから提供される必要があります。
- データソースのAWS IAM ID(IAMユーザー、Canonical User ID、またはIAMロール)
XDRでのインテグレーションの完了🔗
XDRは、2種類のAWS S3取り込みインテグレーションをサポートしています。
- データソースベンダーがS3送信先にオーナーシップチャレンジトークンの送信を要求する場合
- データソースベンダーがS3送信先にオーナーシップチャレンジトークンの送信を要求しない場合
オーナーシップチャレンジトークンが必要な場合🔗
-
Taegis Menuからインテグレーション → クラウドAPIを選択します。
-
ページ上部のインテグレーションの追加を選択します。
インテグレーションの追加 -
カスタムタブを選択し、S3 Ingest - Secureworks-Managed (with ownership token challenge)セクションのセットアップを選択します。
S3 Ingest - Secureworks-Managed (Challenge Token) -
インテグレーションの名前を入力します。
-
データソースに適したIDタイプ(IAMユーザー、Canonical User ID、またはIAMロール)を選択し、該当する値を入力します(この情報はデータソースベンダーから提供される必要があります)。
-
完了を選択します。
オーナーシップチャレンジトークンが不要な場合🔗
-
Taegis Menuからインテグレーション → クラウドAPIを選択します。
-
ページ上部のインテグレーションの追加を選択します。
インテグレーションの追加 -
カスタムタブを選択し、S3 Ingest - Secureworks-Managed (without ownership token challenge)セクションのセットアップを選択します。
S3 Ingest - Secureworks-Managed (No Challenge Token) -
インテグレーションの名前を入力します。
-
データソースに適したIDタイプ(IAMユーザー、Canonical User ID、またはIAMロール)を選択し、該当する値を入力します(この情報はデータソースベンダーから提供される必要があります)。
-
完了を選択します。
インテグレーションシナリオ🔗
このセクションでは、インテグレーションのデータソース側で使用するためにXDRから提供されるインテグレーションパラメータについて説明します。利用可能なインテグレーションパラメータは、オーナーシップチャレンジトークンの要否や使用するIDタイプによって異なります。
これらのパラメータは、前のセクションで作成したインテグレーションをクラウドAPIテーブルから開き、詳細タブを選択することで確認できます。
シナリオ1: S3 Ingest - Secureworks-Managed (without ownership token challenge) をIAMユーザーまたはCanonical User IDで利用する場合🔗
| インテグレーションパラメータ | 値 |
|---|---|
| IAMUser / CanonicalUserID | XDRインテグレーション作成時に入力したID値 |
| AccessPointAlias | データソース側でS3バケット名としてこの値を入力 |
| AWSRegion | データソース側でAWSリージョンが必要な場合、この値を入力 |
| LogFolderPath | データソース側でログ送信先の場所(パス)としてこの値を入力 |
シナリオ2: S3 Ingest - Secureworks-Managed (without ownership token challenge) をIAMロールで利用する場合🔗
| インテグレーションパラメータ | 値 |
|---|---|
| IAMRole | XDRインテグレーション作成時に入力したID値 |
| AccessPointAlias | データソース側でS3バケット名としてこの値を入力 |
| AWSRegion | データソース側でAWSリージョンが必要な場合、この値を入力 |
| LogFolderPath | データソース側でログ送信先の場所(パス)としてこの値を入力 |
| IAMAssumeRole | データソース側でベンダーが引き受ける必要があるロールARNとしてこの値を入力 |
シナリオ3: S3 Ingest - Secureworks-Managed (with ownership token challenge) をIAMユーザーまたはCanonical User IDで利用する場合🔗
| インテグレーションパラメータ | 値 |
|---|---|
| IAMUser / CanonicalUserID | XDRインテグレーション作成時に入力したID値 |
| AccessPointAlias | データソース側でS3バケット名としてこの値を入力 |
| AWSRegion | データソース側でAWSリージョンが必要な場合、この値を入力 |
| LogFolderPath | データソース側でログ送信先の場所(パス)としてこの値を入力 |
| OwnershipToken | データソース側でS3バケットの所有権を証明するトークンとしてこの値を使用 |
シナリオ4: S3 Ingest - Secureworks-Managed (without ownership token challenge) をIAMロールで利用する場合🔗
| インテグレーションパラメータ | 値 |
|---|---|
| IAMUser / CanonicalUserID | インテグレーション作成時にテナントが入力した値 |
| AccessPointAlias | データソース側でS3バケット名としてこの値を入力 |
| AWSRegion | データソース側でAWSリージョンが必要な場合、この値を入力 |
| LogFolderPath | データソース側でログ送信先の場所(パス)としてこの値を入力 |
| IAMAssumeRole | データソース側でベンダーが引き受ける必要があるロールARNとしてこの値を入力 |
| OwnershipToken | データソース側でS3バケットの所有権を証明するトークンとしてこの値を使用 |