Salesforce Real-Time Event Monitoring インテグレーションガイド

以下の手順は、Salesforce Real-Time Event Monitoringインテグレーションを設定し、Secureworks® Taegis™ XDRへのログ取り込みを実現するためのものです。XDRは、Salesforce Real-Time Event Monitoring 機能からログを取り込みます。

注意

Real-Time Event Monitoringは、Enterprise、Unlimited、Developerエディションで利用可能であり、Salesforce ShieldまたはSalesforce Event Monitoringアドオンの契約が必要です。

インテグレーションから提供されるデータ

XDRによって正規化されるログタイプ

• ApiEventStream
• CredentialStuffingEvent
• FileEvent
• GuestUserAnomalyEvent
• LightningUriEventStream
• ListViewEventStream
• LoginAsEventStream
• LoginEventStream
• LogoutEventStream
• PermissionSetEvent
• ReportAnomalyEvent
• ReportEventStream
• SessionHijackingEvent
• UriEventStream

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Salesforce Real-Time Event Monitoring	Auth, CloudAudit, HTTP, Thirdparty		Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Real-Time Event Monitoring の設定

インテグレーションに必要な情報

• Domain URL — 組織のドメインURL（例: https://mycompany.my.salesforce.com）
• Consumer Key — Connected Appのキー
• Consumer Secret — Connected Appのシークレット

Connected App の作成

1. ベンダーのドキュメント を参照し、External Client Appを作成します。
2. New External Client App を選択します。

3. Basic Information を入力します:

   • External Client App Name: 任意の説明的な文字列を入力します。
   • Contact Email を入力します。
   • その他のフィールドはデフォルト値のままで構いません。

4. ベンダーのドキュメント を参照し、External Client AppのOAuth設定を行います。

5. OAuth Settings を入力します:

   • Callback URL: お客様のドメインURLを入力します。
   • OAuth Scopes: Manage user data via APIs (api) を選択します。

6. Flow EnablementでEnable Client Credentials Flowを選択します。

7. デフォルトのSecurity設定をそのまま受け入れます。
8. 変更を保存してアプリを作成します。

Client Credentials User の有効化

注意

インテグレーションで作成されるユーザーの詳細については、ベンダーのドキュメント を参照してください。

1. 前の手順で作成したExternal Client Appに移動します。External Client App Policyの設定 を行います。

2. External Client Appのポリシーを編集します:

   • Enable Client Credentials Flow を選択します。
   • execution userのユーザー名を入力します。このユーザーには、Real-Time Event Monitoringへのアクセスを有効化 する権限が必要です。

3. ポリシーを保存します。

External Client App の認証情報の収集

1. 前の手順で作成したExternal Client Appに移動します。
2. Settingsタブに移動します。
3. Oauth Settingsまでスクロールし、Consumer KeyおよびSecretボタンをクリックします。
4. これらの値はXDRでのインテグレーションに必要となるため、控えておいてください。

すべてのイベントのストリーミングを有効化

Event Managerでストリーミングを有効にするには、以下の手順に従ってください。

重要

XDRは、ストリーミングが有効化されたイベントのみを受信できます。

1. Setupから、Quick FindボックスにEvent Managerと入力し、選択します。
2. ストリーミングを有効にしたいイベントの横にあるドロップダウンメニューをクリックします。
3. Enable streaming を選択します。

XDR でのインテグレーション追加

1. Taegis Menuから、インテグレーション → クラウドAPI を選択します。
2. ページ上部のインテグレーションの追加を選択します。

3. 最適化されたタブからSalesforceを選択します。

   

   新しいSalesforceインテグレーションの作成

4. 以下の値を入力します:

   • Name — インテグレーションの一意の名前として機能し、有効な値を100文字まで入力できます。
   • Domain URL
   • Consumer Key
   • Consumer Secret

5. 完了を選択します。Cloud APIインテグレーションページに、正常に追加されたSalesforceインテグレーションが表示されます。