Corelightインテグレーションガイド🔗
Corelightセンサーは、syslog経由でログをTaegis™ XDR Collectorに送信するように設定してください。syslogへのエクスポート方法については、Corelightが提供するドキュメント(アカウントが必要)に従ってください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| CorelightセンサーマネジメントIP | XDR Collector(管理IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Corelight (Zeek) | DHCP | Auth, DNS, Encrypt, HTTP, Netflow, 検出 | 検出 |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
サポートされているCorelightログ🔗
以下のCorelightログタイプがSecureworks® Taegis™ XDRでサポートされています。
重要
ここに記載されていないログタイプからのイベントは無視されます。
- Conn
- DHCP
- DNS(センサーで有効化されている場合は集計DNS、
dns_aggも含む。詳細はCorelightデータ集計を参照) - HTTP
- Intel
- Kerberos
- NTLM
- Notice
- RDP
- Signature
- SMB_File
- SSH
- SSL
- Signatures
- Suricata
- Tunnel
- Weird
- x509
Corelightデータ集計🔗
Corelightは、Zeekベースのログの送信量を削減するために、オプションでデータ集計を適用できます(例:一定時間内の類似イベントをグループ化し、サマリーレコードとして出力)。DNSに対して集計を使用する場合、センサーは設定に応じて、トランザクションごとのdns/dns_redイベントの代わりに、または追加でdns_aggレコードを送信することがあります。
推奨事項
高精度なセキュリティ分析に依存するデータについては、トレードオフを許容しない限り、集計を有効にしないでください。集計を有効にすると精度が低下します。複数の基礎トランザクションが1つのサマリーイベントとして表現されるため、イベント数が変化したり、クエリごとのタイミングや相関が制限されたり、非集計ログストリームに存在するフィールドが省略または統合される場合があります。検知、調査、コンプライアンスなど、DNSクエリごとに1イベント(またはZeekフィールドの完全なカバレッジ)が必要なユースケースでは、非集計エクスポートを使用してください。
集計が許容される場合
取り込み量の削減や概算の可視性が目的であり、調査や一部の分析が粗くなることを理解している場合、集計は意図的なコストトレードオフとなります。XDRのCorelight DNSパースと最も強く一致させるには、可能な限り非集計のdns/dns_redを推奨します。
設定手順🔗
Corelightセンサーをsyslog経由でXDRにログ送信するには、Corelightが提供するsyslogへのエクスポート手順に従ってください。
設定手順を完了する際は、以下の要件を考慮してください。
- Syslogサーバー:ポート — XDR Collectorのホスト名またはIPアドレス
-
Syslogフォーマット — Alternateを選択してください。
Corelightの設定