コンテンツにスキップ

Microsoft Windows Event Log インテグレーションガイド🔗

Microsoft Windows Event Logはさまざまな製品からアクセスでき、Windows Event LogをSecureworks® Taegis™ XDRデータコレクターへ転送してセキュリティイベントの監視を実現します。XDRデータコレクターは、Snare over Syslog形式のWindows Event Logを受け付けます。

_Snare over Syslog_形式でMicrosoft Windows Event Logの転送をサポートするベンダー例は以下の通りです。

商用製品:

  • Intersect Alliance Snare Enterprise
  • NXLog Enterprise
  • TIBCO Universal Collector
  • Syslog-ng Agent for Windows

オープンソース製品:

  • NXLog Community Edition (CE)

購入や設定方法については、各ベンダーのサイトをご参照ください。

接続要件🔗

ソース 宛先 ポート/プロトコル
Windows server Taegis™ XDR Collector (mgmt IP) UDP/514

インテグレーションから提供されるデータ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Microsoft Windows Event Log (Microsoft-Windows-Security-Auditing) File, Management, Process, Thirdparty, CloudAudit Auth, Netflow

重要

一部の検知ルールは、Windowsがデフォルトで記録しないWindows Event Logフィールドに依存しています。

Event ID 4688(プロセス作成)でProcess Command Lineを取得するには、以下のポリシーを有効にしてください: Administrative Templates > System > Audit Process Creation > Include command line in process creation events。このポリシーを有効にすると該当フィールドが記録され、プロセスコマンドラインデータに依存する検知をサポートします。

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

Snare Agent ログ設定ドキュメント🔗

重要

Snareエージェントは、XDRで必須となるSnare-over-Syslog形式で設定してください。

Intersect AllianceのSnare Enterprise Windows Agentのドキュメントは以下のリンクから参照できます。

重要

データソースは、XDRが正しいタイムゾーンを報告できるよう、タイムスタンプをUTCで報告するように設定してください。

注意

Intersect Allianceは、SecureworksバージョンのSnare Enterpriseエージェントのサポートを終了し、現在はレガシー扱いとなっています。リテール版のSnare Windows Agentのご利用を推奨します。リテール版のライセンス取得については、snaresupport@prophecyinternational.comまでご連絡ください。

NXLog テンプレートダウンロード🔗

重要

この設定テンプレートは、XDRのお客様向けの便宜として提供しています。ベストエフォートでトラブルシューティングを行いますが、高度な設定や問題についてはベンダーにご相談ください。

重要

データソースは、XDRが正しいタイムゾーンを報告できるように、タイムスタンプをUTCで報告するように設定する必要があります。

注意

NXLog CEはタイムスタンプをUTCに変更することをサポートしていません。これが必要な場合は、NXlog Enterprise Editionなどの別製品が必要です。