TAXII 2.1 インテグレーションガイド

以下の手順は、TAXII 2.1 を設定して脅威インジケーターを Secureworks® Taegis™ XDR に取り込み、Bring Your Own Threat Intel 検知機 を通じて検出を生成する方法です。

注意

テナントごとにアクティブなインジケーターの上限は15,000件です。インジケーターが上限に達した場合、最も古いインジケーターから削除され、上限を超えないように維持されます。

TAXII 2.1 の要件

XDR と連携するには、TAXII 2.1 の Root URL、Collection ID、ユーザー名、パスワードが必要です。

インテグレーションから提供されるデータ

以下のデータタイプを含む TAXII 2.1 コレクション：

• IPアドレス
• ドメイン
• URL
• ファイルハッシュ（SHA1、SHA256、MD5）

XDR でのインテグレーション追加

1. Taegis Menu から インテグレーション → クラウドAPI を選択します。

2. ページ上部の インテグレーションの追加 を選択します。

   

   インテグレーションの追加

3. 最適化タブから TAXII を選択します。

4. 以下の項目を入力します：

   • インテグレーション名 — このインテグレーションが XDR で使用する名前
   • 重大度 — アラートに使用するデフォルトの重大度
   • TAXII 2.1 Root URL
   • TAXII 2.1 Collection ID
   • TAXII 2.1 ユーザー名
   • TAXII 2.1 パスワード

   

   新しい TAXII 2.1 インテグレーションの作成

5. 完了 を選択します。クラウドAPIインテグレーションのページに、正常に追加された TAXII 2.1 インテグレーションが表示されます。

上記の手順が完了すると、TAXII 2.1 インテグレーションの詳細は クラウドAPI で確認できます。Taegis Menu から インテグレーション → クラウドAPI を選択してください。

検出の重大度

TAXII 経由で取り込まれたインジケーターによって生成された検出は、XDR インテグレーションの設定時に指定した重大度を使用します。

クエリ言語検索例

過去24時間の Bring Your Own Threat Intel 検出を検索するには：

from detection metadata.creator.detector.detector_id='app:detect:byoti' and EARLIEST=-24h

関連トピック

• APIインテグレーションのステータスと正常性の確認
• インテグレーションの削除
• Bring Your Own Threat Intel 検知機