Akamai Guardicore Segmentation インテグレーションガイド 🔗
Akamai Guardicore Segmentation(Guardicore)をSecureworks® Taegis™ XDRと連携するには、AkamaiのUnified Log Streamer(ULS)の導入に関するガイダンスに従う必要があります。Akamai ULSは、XDRのような拡張検知・対応製品とのインテグレーションを簡素化するために設計されています。Akamai ULSの導入が完了したら、Akamai ULSを設定してGuardicoreイベントをsyslog経由でTaegis™ XDR Collectorに送信できます。Guardicoreイベントは、さまざまなセキュリティイベントの観測のためにリアルタイムでフィルタリングおよび相関されます。
以下の手順に従い、XDRによる監視のためのインテグレーションと有効化を行ってください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Akamai ULS | XDR Collector (mgmt IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai Guardicore Segmentation | Thirdparty | Netflow, Process |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Akamaiの要件🔗
XDRとAkamai Guardicore Segmentation(Guardicore)のインテグレーションには、Akamaiが提供するUnified Log Streamer(ULS)が必要です。Akamai Unified Log Streamer(ULS)の導入については、Akamaiのドキュメントに従ってください。
Akamai Unified Log Streamer(ULS)出力ガイダンス🔗
Akamai ULSの導入後、ULS OUTPUTを定義し、Guardicoreイベントをsyslog経由でXDR Collectorに送信する必要があります。パラメータの定義には以下を使用してください。
Akamai ULS 設定パラメータ🔗
共通ULS環境パラメータ🔗
入力パラメータ🔗
- ULS_INPUT = GC
- ULS_FORMAT = JSON
出力パラメータ🔗
- ULS_OUTPUT = TCP
- ULS_OUTPUT_HOST = XDR Collector IP
- ULS_OUTPUT_PORT = 601
Guardicore NETLOG固有の環境パラメータ🔗
入力パラメータ🔗
- ULS_FEED = NETLOG
出力パラメータ🔗
- ULS_TCPUDP_FORMAT =
'{"api_host": "{api_hostname}", "ulsfeed": "Akamai-{uls_input}-{uls_feed}", "event": %s}'
Guardicore INCIDENT固有の環境パラメータ🔗
入力パラメータ🔗
- ULS_FEED = INCIDENT
出力パラメータ🔗
- ULS_TCPUDP_FORMAT =
'{"api_host": "{api_hostname}", "ulsfeed": "Akamai-{uls_input}-{uls_feed}", "event": %s}'
Akamai Guardicore Segmentationイベントは、Akamai ULSを介してXDRに記録されるようになりました。
クエリ言語検索例🔗
過去24時間のnetflowイベントを検索するには:
FROM netflow WHERE sensor_type = 'Akamai Guardicore' and EARLIEST=-24h
過去24時間のprocessイベントを検索するには:
FROM process WHERE sensor_type = 'Akamai Guardicore' and EARLIEST=-24h
過去24時間のthirdpartyイベントを検索するには:
FROM thirdparty WHERE sensor_type = 'Akamai Guardicore' and EARLIEST=-24h