Linux Serverインテグレーションガイド🔗
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Linuxサーバー | Taegis™ XDR Collector (mgmt IP) | UDP/514 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| 非Microsoftベースのサーバー(sudo/su/sshd/namedなどのプロセス) | Management | Auth, DNS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
ログ設定手順🔗
Linuxサーバーは、DNS、SSH、sudoのいずれのログであっても、syslog経由でXDR Collectorに送信するように設定する必要があります。
購入および設定に関するガイダンスについては、ベンダーのサイトを参照してください。
ログ設定手順の例:
サンプルログ🔗
Sudo:
Aug 21 18:03:26 ABC sudo[2479]: pam_vas: Authentication <ignored> for <Non-VAS> user: <sysmonpt> account: <> service: <sudo> reason: <>
SSH:
Aug 21 13:29:25 ABC-12345 sshd[12309]: Accepted password for srv_account from 10.118.1.66 port 29436 ssh2
DNS:
Apr 13 14:01:52 10.1.2.3 named[12133]: client 10.9.8.7#37299 (abc.l2.abc.org): query: abc.l2.qwerty.org IN A + (10.11.12.13)