Corelightインテグレーションガイド🔗
Corelightセンサーは、syslog経由でログをTaegis™ XDR Collectorに送信するように設定する必要があります。syslogへのエクスポート方法については、Corelightが提供するドキュメント(アカウントが必要)に従ってください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| CorelightセンサーマネジメントIP | XDR Collector(管理IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Corelight (Zeek) | DHCP | Auth, DNS, Encrypt, HTTP, Netflow, 検出 | 検出 |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
サポートされているCorelightログ🔗
以下のCorelightログタイプがSecureworks® Taegis™ XDRでサポートされています。
重要
ここに記載されていないログタイプからのイベントは無視されます。
- Conn
- DHCP
- DNS
- HTTP
- Intel
- Kerberos
- NTLM
- Notice
- RDP
- Signature
- SMB_File
- SSH
- SSL
- Signatures
- Suricata
- Tunnel
- Weird
- x509
設定手順🔗
Corelightセンサーをsyslog経由でXDRにログ送信するには、Corelightが提供するsyslogへのエクスポート手順に従ってください。
設定手順を完了する際は、以下の要件を考慮してください。
- Syslog Server:Port — XDR Collectorのホスト名またはIPアドレス
-
Syslog Format — Alternateを選択してください。
Corelightの設定