Salesforce Real-Time Event Monitoring インテグレーションガイド

以下の手順は、Salesforce Real-Time Event Monitoringインテグレーションを設定し、Secureworks® Taegis™ XDRへのログ取り込みを実現するためのものです。XDRは、Salesforce Real-Time Event Monitoring 機能からログを取り込みます。

注意

Real-Time Event Monitoringは、Enterprise、Unlimited、Developerエディションで利用可能であり、Salesforce ShieldまたはSalesforce Event Monitoringアドオンの契約が必要です。

インテグレーションから提供されるデータ

XDR によって正規化されるログタイプ

• ApiEventStream
• CredentialStuffingEvent
• FileEvent
• GuestUserAnomalyEvent
• LightningUriEventStream
• ListViewEventStream
• LoginAsEventStream
• LoginEventStream
• LogoutEventStream
• PermissionSetEvent
• ReportAnomalyEvent
• ReportEventStream
• SessionHijackingEvent
• UriEventStream

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Salesforce Real-Time Event Monitoring	Auth, CloudAudit, HTTP, Thirdparty		Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

Real-Time Event Monitoring の設定

インテグレーション完了に必要な情報

• Domain URL — 組織のドメインURL（例: https://mycompany.my.salesforce.com）
• Consumer Key — Connected Appのキー
• Consumer Secret — Connected Appのシークレット

Connected App の作成

1. ベンダーのドキュメント を参照し、External Client Appを作成します。
2. New External Client App を選択します。

3. Basic Information を入力します:

   • External Client App Name: 任意の説明的な文字列を入力します。
   • Contact Email を入力します。
   • 残りのフィールドはデフォルト値のままで構いません。

4. ベンダーのドキュメント を参照し、External Client AppのOAuth設定を構成します。

5. OAuth Settings を入力します:

   • Callback URL: お客様のドメインURLを入力します。
   • OAuth Scopes: Manage user data via APIs (api) を選択します。

6. Flow EnablementでEnable Client Credentials Flowを選択します。

7. デフォルトのSecurity設定をそのまま使用します。
8. 変更を保存してアプリを作成します。

Client Credentials User の有効化

注意

インテグレーションで作成されるユーザーの利用方法については、ベンダーのドキュメント を参照してください。

1. 前の手順で作成したExternal Client Appに移動します。External Client App Policyの構成 を行います。

2. External Client Appのポリシーを編集します:

   • Enable Client Credentials Flow を選択します。
   • execution userのユーザー名を入力します。このユーザーには、Real-Time Event Monitoringへのアクセスを有効化 の権限が必要です。

3. ポリシーを保存します。

External Client App の認証情報の取得

1. 前の手順で作成したExternal Client Appに移動します。
2. Settingsタブに移動します。
3. Oauth Settingsまでスクロールし、Consumer KeyおよびSecretボタンをクリックします。
4. これらの値はXDRでのインテグレーションに必要となるため、控えておいてください。

すべてのイベントのストリーミングを有効化

Event Managerでストリーミングを有効にするには、以下の手順を実施してください。

重要

XDRは、ストリーミングが有効化されたイベントのみ受信できます。

1. Setupから、Quick FindボックスにEvent Managerと入力し、選択します。
2. ストリーミングを有効化したいイベントの横にあるドロップダウンメニューをクリックします。
3. Enable streaming を選択します。

XDR でのインテグレーション追加

1. Taegis Menuから、インテグレーション → クラウドAPI を選択します。
2. ページ上部のインテグレーションの追加を選択します。

3. 最適化されたタブからSalesforceを選択します。

   

   新しいSalesforceインテグレーションの作成

4. 以下の値を入力します:

   • Name — インテグレーションの一意の名前として機能し、最大100文字まで任意の有効な値を入力できます。
   • Domain URL
   • Consumer Key
   • Consumer Secret

5. 完了を選択します。Cloud APIインテグレーションページに、正常に追加されたSalesforceインテグレーションが表示されます。