Akamai Guardicore Segmentation インテグレーションガイド 🔗
Secureworks® Taegis™ XDR は、Akamai Guardicore Segmentation(Guardicore)イベントを syslog 経由で Taegis™ XDR Collector に取り込みます。2つの配信フォーマットがサポートされており、お客様の環境に応じていずれかを選択できます。
- Guardicore Centra Data Exporter(CEF over syslog) — Guardicore Centra UI の組み込み syslog エクスポーターで、Common Event Format(CEF)メッセージを出力します。詳細は Akamai Techdocs をご参照ください。
- Akamai Unified Log Streamer(ULS) — Akamai のオープンソースストリーミングツールで、JSON メッセージを出力します。
どちらの経路も XDR でセンサータイプ Akamai Guardicore として受信され、同じ正規化イベントスキーマを生成します。Akamai がサポートする経路のうち、お客様の導入に適したものをご利用ください。既存の ULS インテグレーションは引き続き動作し、移行の必要はありません。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Guardicore Centra(Data Exporter) | XDR Collector(管理IP) | TCP または UDP / 514 |
| Akamai ULS | XDR Collector(管理IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Akamai Guardicore Segmentation | Thirdparty | Netflow, Process |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
Guardicore Centra Data Exporter(CEF)設定🔗
ご利用のバージョンに応じて、Akamai の Guardicore Centra ドキュメントに従い Data Exporter を設定してください。Centra UI で System > Integrations > Data Exporters に移動し、XDR Collector に送信するエクスポーターを作成します。XDR でメッセージが認識・正規化されるよう、以下の設定を使用してください。
- メッセージフォーマット:
CEF - Syslog ホスト: XDR Collector 管理IP
- Syslog ポート:
514 - Syslog プロトコル:
TCPまたはUDP(TCP 推奨)
取り込みたいイベントクラスごとに Data Exporter を作成してください。Akamai のドキュメントに従い、お客様の導入に関連する verdict やイベントタイプのエクスポートを有効化してください。
XDR の正規化処理は、CEF ヘッダー CEF:0|Guardicore|Centra| でメッセージを判別するため、Centra 側で追加の CEF カスタマイズは不要です。下表は、Centra の各イベントクラスがどの XDR スキーマにマッピングされるかを示しています。
| Centra イベントクラス | 正規化先 | 備考 |
|---|---|---|
| Incident (例: Bad Reputation, Policy Violation, Reveal, Network Scan, Lateral Movement など) |
thirdparty |
セキュリティアラート。検知や相関分析に推奨。 |
| Network Log | netflow, process |
ピアアドレス、プロセスパス、ポリシー判定を含むフロー単位の記録。 |
| Agent Log Event | generic |
エージェントの運用テレメトリー(KOダウンロード、プロファイル配信、モード変更など)。検索可能ですが、セキュリティスキーマには昇格されません。 |
| System Event | generic |
Centra 管理レベルの正常性・状態メッセージ。検索可能ですが、セキュリティスキーマには昇格されません。 |
| Audit Record | generic |
Centra 管理者/監査アクティビティ。検索可能ですが、セキュリティスキーマには昇格されません。 |
ヒント
セキュリティテレメトリーのみが必要な場合は、Incident および Network Log エクスポーターの有効化のみで十分です。運用系クラス(Agent Log、System Event、Audit Record)は、これらのデータを XDR で検索したい場合のみ有効化してください。これらは専用スキーマではなく generic スキーマに格納されます。
Akamai Unified Log Streamer(ULS)設定🔗
別の方法として、Akamai Unified Log Streamer(ULS) の導入について Akamai のドキュメントに従い、ULS OUTPUT を定義して、以下のパラメータで Guardicore イベントを syslog 経由で XDR Collector に送信してください。
Akamai ULS 設定パラメータ🔗
共通 ULS 環境パラメータ🔗
入力パラメータ🔗
- ULS_INPUT = GC
- ULS_FORMAT = JSON
出力パラメータ🔗
- ULS_OUTPUT = TCP
- ULS_OUTPUT_HOST = XDR Collector IP
- ULS_OUTPUT_PORT = 601
Guardicore NETLOG 固有の環境パラメータ🔗
入力パラメータ🔗
- ULS_FEED = NETLOG
出力パラメータ🔗
- ULS_TCPUDP_FORMAT =
'{"api_host": "{api_hostname}", "ulsfeed": "Akamai-{uls_input}-{uls_feed}", "event": %s}'
Guardicore INCIDENT 固有の環境パラメータ🔗
入力パラメータ🔗
- ULS_FEED = INCIDENT
出力パラメータ🔗
- ULS_TCPUDP_FORMAT =
'{"api_host": "{api_hostname}", "ulsfeed": "Akamai-{uls_input}-{uls_feed}", "event": %s}'
これで Akamai Guardicore Segmentation のイベントが Akamai ULS 経由で XDR に記録されるようになります。
クエリ言語検索例🔗
直近24時間の netflow イベントを検索する場合:
FROM netflow WHERE sensor_type = 'Akamai Guardicore' and EARLIEST=-24h
直近24時間の process イベントを検索する場合:
FROM process WHERE sensor_type = 'Akamai Guardicore' and EARLIEST=-24h
直近24時間の thirdparty イベントを検索する場合:
FROM thirdparty WHERE sensor_type = 'Akamai Guardicore' and EARLIEST=-24h