コンテンツにスキップ

Microsoft Windows Event Log インテグレーションガイド🔗

Microsoft Windows Event Logはさまざまな製品からアクセスでき、Windows Event LogをSecureworks® Taegis™ XDRデータコレクターへ転送することでセキュリティイベントの監視が可能です。XDRデータコレクターは、Snare over Syslog形式のWindows Event Logを受け付けます。

_Snare over Syslog_形式でMicrosoft Windows Event Logの転送をサポートするベンダー例は以下の通りです。

商用製品:

  • Intersect Alliance Snare Enterprise
  • NXLog Enterprise
  • TIBCO Universal Collector
  • Syslog-ng Agent for Windows

オープンソース製品:

  • NXLog Community Edition (CE)

購入や設定方法については、各ベンダーのサイトをご参照ください。

接続要件🔗

ソース 宛先 ポート/プロトコル
Windows server Taegis™ XDR Collector (mgmt IP) UDP/514

インテグレーションから提供されるデータ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Microsoft Windows Event Log (Microsoft-Windows-Security-Auditing) File, Management, Process, Thirdparty Auth, Netflow

重要

一部の検知ルールは、Windowsがデフォルトで記録しないWindows Event Logのフィールドに依存しています。

Event ID 4688(プロセス作成)でProcess Command Lineを取得するには、以下のポリシーを有効にしてください: Administrative Templates > System > Audit Process Creation > Include command line in process creation events。このポリシーを有効にすることで、該当フィールドが記録され、プロセスのコマンドラインデータに依存する検知がサポートされます。

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Snareエージェント ログ記録ドキュメント🔗

重要

XDRで必要となるSnare-over-Syslog形式でSnareエージェントを設定してください。

Intersect AllianceのSnare Enterprise Windows Agentに関するドキュメントは以下のリンクをご参照ください。

重要

データソースは、XDRが正しいタイムゾーンを報告できるよう、タイムスタンプをUTCで報告するように設定する必要があります。

注意

Intersect Allianceは、SecureworksバージョンのSnare Enterpriseエージェントのサポートを終了し、現在はレガシー扱いとなっています。リテール版のSnare Windows Agentのご利用を推奨します。ライセンス取得の支援については snaresupport@prophecyinternational.com までご連絡ください。

NXLog テンプレートダウンロード🔗

重要

この設定テンプレートは、XDRのお客様向けの便宜として提供しています。ベストエフォートでトラブルシューティングを行いますが、高度な設定や問題についてはベンダーにご相談ください。

重要

データソースは、XDRが正しいタイムゾーンを報告できるように、タイムスタンプをUTCで報告するように設定する必要があります。

注意

NXLog CEはタイムスタンプをUTCに変更することをサポートしていません。これが必要な場合は、NXLog Enterprise Editionなどの別製品が必要です。