コンテンツにスキップ

Akamai Guardicore Segmentation インテグレーションガイド 🔗

Secureworks® Taegis™ XDR は、Akamai Guardicore Segmentation(Guardicore)イベントを syslog 経由で Taegis™ XDR Collector に取り込みます。2つの配信フォーマットがサポートされており、お客様の環境に応じていずれかを選択できます。

  • Guardicore Centra Data Exporter(CEF over syslog) — Guardicore Centra UI の組み込み syslog エクスポーターで、Common Event Format(CEF)メッセージを出力します。詳細は Akamai Techdocs をご参照ください。
  • Akamai Unified Log Streamer(ULS) — Akamai のオープンソースストリーミングツールで、JSON メッセージを出力します。

どちらの経路も XDR でセンサータイプ Akamai Guardicore として受信され、同じ正規化イベントスキーマを生成します。Akamai がサポートする経路のうち、お客様の導入に適したものをご利用ください。既存の ULS インテグレーションは引き続き動作し、移行の必要はありません。

接続要件🔗

ソース 宛先 ポート/プロトコル
Guardicore Centra(Data Exporter) XDR Collector(管理IP) TCP または UDP / 514
Akamai ULS XDR Collector(管理IP) TCP/601

インテグレーションから提供されるデータ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Akamai Guardicore Segmentation Thirdparty Netflow, Process

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

Guardicore Centra Data Exporter(CEF)設定🔗

ご利用のバージョンに応じて、Akamai の Guardicore Centra ドキュメントに従い Data Exporter を設定してください。Centra UI で System > Integrations > Data Exporters に移動し、XDR Collector に送信するエクスポーターを作成します。XDR でメッセージが認識・正規化されるよう、以下の設定を使用してください。

  • メッセージフォーマット: CEF
  • Syslog ホスト: XDR Collector 管理IP
  • Syslog ポート: 514
  • Syslog プロトコル: TCP または UDP(TCP 推奨)

取り込みたいイベントクラスごとに Data Exporter を作成してください。Akamai のドキュメントに従い、お客様の導入に関連する verdict やイベントタイプのエクスポートを有効化してください。

XDR の正規化処理は、CEF ヘッダー CEF:0|Guardicore|Centra| でメッセージを判別するため、Centra 側で追加の CEF カスタマイズは不要です。下表は、Centra の各イベントクラスがどの XDR スキーマにマッピングされるかを示しています。

Centra イベントクラス 正規化先 備考
Incident
(例: Bad Reputation, Policy Violation, Reveal, Network Scan, Lateral Movement など)
thirdparty セキュリティアラート。検知や相関分析に推奨。
Network Log netflow, process ピアアドレス、プロセスパス、ポリシー判定を含むフロー単位の記録。
Agent Log Event generic エージェントの運用テレメトリー(KOダウンロード、プロファイル配信、モード変更など)。検索可能ですが、セキュリティスキーマには昇格されません。
System Event generic Centra 管理レベルの正常性・状態メッセージ。検索可能ですが、セキュリティスキーマには昇格されません。
Audit Record generic Centra 管理者/監査アクティビティ。検索可能ですが、セキュリティスキーマには昇格されません。

ヒント

セキュリティテレメトリーのみが必要な場合は、Incident および Network Log エクスポーターの有効化のみで十分です。運用系クラス(Agent LogSystem EventAudit Record)は、これらのデータを XDR で検索したい場合のみ有効化してください。これらは専用スキーマではなく generic スキーマに格納されます。

Akamai Unified Log Streamer(ULS)設定🔗

別の方法として、Akamai Unified Log Streamer(ULS) の導入について Akamai のドキュメントに従い、ULS OUTPUT を定義して、以下のパラメータで Guardicore イベントを syslog 経由で XDR Collector に送信してください。

Akamai ULS 設定パラメータ🔗

共通 ULS 環境パラメータ🔗

入力パラメータ🔗
  • ULS_INPUT = GC
  • ULS_FORMAT = JSON
出力パラメータ🔗
  • ULS_OUTPUT = TCP
  • ULS_OUTPUT_HOST = XDR Collector IP
  • ULS_OUTPUT_PORT = 601

Guardicore NETLOG 固有の環境パラメータ🔗

入力パラメータ🔗
  • ULS_FEED = NETLOG
出力パラメータ🔗
  • ULS_TCPUDP_FORMAT'{"api_host": "{api_hostname}", "ulsfeed": "Akamai-{uls_input}-{uls_feed}", "event": %s}'

Guardicore INCIDENT 固有の環境パラメータ🔗

入力パラメータ🔗
  • ULS_FEED = INCIDENT
出力パラメータ🔗
  • ULS_TCPUDP_FORMAT'{"api_host": "{api_hostname}", "ulsfeed": "Akamai-{uls_input}-{uls_feed}", "event": %s}'

これで Akamai Guardicore Segmentation のイベントが Akamai ULS 経由で XDR に記録されるようになります。

クエリ言語検索例🔗

直近24時間の netflow イベントを検索する場合:

FROM netflow WHERE sensor_type = 'Akamai Guardicore' and EARLIEST=-24h

直近24時間の process イベントを検索する場合:

FROM process WHERE sensor_type = 'Akamai Guardicore' and EARLIEST=-24h

直近24時間の thirdparty イベントを検索する場合:

FROM thirdparty WHERE sensor_type = 'Akamai Guardicore' and EARLIEST=-24h