Delinea Secret Server🔗
以下は、Delinea Secret Server の監査およびセキュリティイベントをお客様の XDR Collector を使用して Secureworks® Taegis™ XDR に送信する手順と、それらのイベントが正規化後にどのように表示されるかについて説明します。
Secret Server は、Delinea社のエンタープライズ特権アクセス管理およびボールトプラットフォームです。Syslog/CEF 出力を有効にすると、アクティビティが Common Event Format (CEF) でsyslog経由で転送されます。XDR は、syslogをリッスンしているデータコレクターに配信されたこのストリームを取り込みます。
接続要件🔗
Secret Serverインスタンス、またはsyslog用に使用するネットワークのイグレスが、コレクターのsyslogポートおよび両側で設定したプロトコルに到達できるようにしてください。コレクターはデフォルトで UDP/514 および TCP/601 を受け付けますが、暗号化が必要な場合はTLS対応のsyslogリスナーも追加できます。詳細は TLS Enabled Syslog を参照してください。
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Delinea Secret Server (syslogクライアント) | XDR Collector (管理IP) | コレクターで使用するリスナーに合わせて設定(例:UDP/514、TCP/601、または設定したTLSポート) |
Secret Serverのsyslog送信先で設定したホスト(またはVIP)とポートを同じものにしてください。コレクターでTLSを使用する場合は、TLS Enabled Syslog に従い、Delineaのドキュメントを参照してSecret Serverをセキュアsyslog用に設定してください。
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Delinea Secret Server | CloudAudit, Generic | Auth |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
Delinea Secret Serverの設定🔗
Delineaのドキュメントを参照し、Secret Serverからsyslogサーバーへの Syslog/CEF(または同等機能)のログ転送を有効にしてください。以下のDelineaガイドでは、アプリケーション設定、プロトコル、メッセージフォーマットについて説明しています。
- Secure Syslog and CEF Logging
- Integrating Syslog CEF with Secret Server
- Syslog Event List (CEFにおけるイベントタイプと識別子のリファレンス)
XDR の要件🔗
- Secret Serverの Syslog/CEF インテグレーションで生成された CEF syslogメッセージを転送してください。カスタムテキスト形式は使用しないでください。
- CEFヘッダー内で、メッセージは製品を Thycotic Software(device vendor)、Secret Server(device product)として識別する必要があります。これはSecret ServerがSIEM連携用に標準で出力するCEF識別情報です。CEFヘッダーで他のベンダー名や製品名を代用しないでください。
- syslog送信先の ホスト および ポート を XDR Collector のアドレスと有効化したsyslogリスナー(UDP、TCP、またはTLS)に設定し、お客様のネットワークおよびセキュリティポリシーに合わせてください。
syslog出力のメニューやライセンスは、Secret Serverのエディションや導入形態(オンプレミス、分散エンジン、クラウド)によって異なります。ご利用のバージョンに応じて上記ベンダーガイドに従ってください。
正規化イベントの結果🔗
取り込み後、イベントはセンサータイプ Delinea Secret Server に関連付けられます。アクティビティに応じて、正規化されたレコードは以下の詳細検索データセットのいずれかに書き込まれます。
| データセット | 主な用途 |
|---|---|
auth |
ユーザー認証ライフサイクル(例:ログオン、ログオフ、ロックアウト、パスワード変更結果、パスワード有効期限) |
cloudaudit |
ボールトおよびプラットフォームのアクティビティ(例:シークレットのチェックアウト、チェックイン、閲覧、起動、設定、エンジンイベント) |
generic |
auth または cloudaudit スキーマにマッピングされないその他のSecret Server CEFイベントがここに取り込まれ正規化されます |
このインテグレーションに絞った検索には sensor_type = 'Delinea Secret Server'(この文字列)を使用してください。
クエリ言語検索例🔗
過去24時間のすべてのDelinea Secret Serverイベント(上記のいずれかの正規化データセット):
FROM auth, cloudaudit, generic WHERE sensor_type = 'Delinea Secret Server' AND EARLIEST=-24h
cloudaudit アクティビティのみ:
FROM cloudaudit WHERE sensor_type = 'Delinea Secret Server' AND EARLIEST=-24h
特定ユーザープリンシパルの auth イベント:
FROM auth WHERE sensor_type = 'Delinea Secret Server' AND source_user_name = 'user@example.com'
シークレット名が関与する cloudaudit イベント(必要に応じて生メッセージテキストを検索):
FROM cloudaudit WHERE sensor_type = 'Delinea Secret Server' AND original_data CONTAINS 'Item name:'