Cisco Ironport インテグレーションガイド🔗
Cisco IronPort Web Security Appliances (WSA) は、以下のログ取得手順に従い、syslog経由でTaegis™ XDR Collectorにログを送信するように設定してください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Cisco IronPort WSA | XDR Collector (mgmt IP) | UDP/514 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Cisco IronPort | Auth | HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
設定手順🔗
Cisco IronPortをsyslog経由でSecureworks® Taegis™ XDRにログ送信するには、以下の手順に従ってください。
Web Security Appliances🔗
こちらのCiscoの手順に従い、以下のログタイプについてsyslogプッシュ取得方式を用いてログサブスクリプションを追加または編集してください。
- CLI監査ログ — コマンドラインインターフェースのアクティビティの履歴監査を記録します。
- FTPサーバーログ — FTPを使用してWSAにアップロードおよびダウンロードされたすべてのファイルを記録します。
- GUIログ — Webインターフェースでのページリフレッシュの履歴を記録します。
- データセキュリティログ — IronPort DSFによって評価されたアップロード要求のクライアント履歴を記録します。
- McAfeeログ — McAfeeスキャンエンジンによるマルウェアスキャンアクティビティのステータスを記録します。
- AnyConnect Secure Mobility Daemonログ — Web SecurityアプライアンスとAnyConnectクライアント間のやり取り(ステータスチェックを含む)を記録します。
- デフォルトプロキシログ — Webプロキシに関連するエラーを記録します。
- Sophosログ — Sophosスキャンエンジンによるマルウェアスキャンアクティビティのステータスを記録します。
- システムログ — DNS、エラー、コミットアクティビティを記録します。
- W3Cログ — カスタムフォーマットを使用し、このタイプで収集されたデータはデフォルトのアクセスログタイプ(Squid)のフォーマットに優先します。
W3Cログ🔗
http/httpsアクセスログをXDRに転送するために、新しいW3Cログタイプのサブスクリプションをカスタムフォーマットで作成してください。設定手順の際、以下の要件を考慮してください。
- ログ名 — TDR_W3C
- ログタイプ — W3C
- ログフィールド — 以下のフィールドをこの順序で追加してください:
- date
- time
- c-ip
- c-port
- s-ip
- s-port
- cs(X-Forward-For)
- cs-username
- sc-result-code
- sc-http-status
- cs-method
- cs-url cs-version
- cs-mime-type
- cs(User-Agent)
- cs(Referer)
- x-acltag
- x-result-code
Syslogプッシュ構成🔗
前述の各ログタイプサブスクリプションのsyslogプッシュ取得方式の設定について、以下の要件を考慮してください。
- ホスト名 — XDR Collector のIPアドレス
- プロトコル — UDP
- ファシリティ — Local2
注意
変更内容を、XDRでログを受信したいすべてのIronPortにコミットまたはプッシュすることを忘れないでください。