コンテンツにスキップ

Dragos Platformインテグレーションガイド🔗

Dragos Platformは、産業組織向けに包括的な資産ID、脅威検出、および対応機能を提供します。

以下の手順は、Dragos Platformを設定してSecureworks® Taegis™ XDRへのログ取り込みを実現するためのものです。

重要

このインテグレーションをお客様のXDRテナントに追加するには、Taegis™ XDR for OT が必要です。必要なライセンスの取得については、アカウントマネージャーまたはCSMにお問い合わせください。

接続要件🔗

ソース 宛先 ポート/プロトコル
Dragos Platform Taegis™ XDR Collector (mgmt IP) TCP/601

インテグレーションから提供されるデータ🔗

XDRがサポートするDragosイベントタイプは以下の通りです。

  • アラート(すべてのアラートタイプ)

注意

上記に記載されていないDragosイベントタイプは、genericスキーマに正規化されます。

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Dragos Platform Netflow Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Dragos Platformの設定🔗

Dragos Syslog Integration Guideの手順に従い、Syslog転送を設定してください。

Syslogの設定

Syslog設定オプション🔗

Dragos PlatformからSyslog経由でログを送信するには、TCP、UDP、TLSの3つの構成が可能です。

選択した構成に応じて、以下の情報を入力してください。

TCP🔗

パラメータ
Name 任意の文字列
Hostname/IP XDR Collector (mgmt IP)
Port 601
Protocol TCP
Source Hostname Dragos Platformのホスト名またはIP
Source Process 任意の文字列
Message Format RFC 3164 BSD Syslog
Message Delimiter TCPおよびTLSストリームには改行デリミタを使用

UDP🔗

パラメータ
Name 任意の文字列
Hostname/IP XDR Collector (mgmt IP)
Port 514
Protocol UDP
Source Hostname Dragos Platformのホスト名またはIP
Source Process 任意の文字列
Message Format RFC 3164 BSD Syslog
Message Delimiter TCPおよびTLSストリームには改行デリミタを使用

TLS🔗

Syslog over TLSのためのXDR Collectorの設定については、ドキュメントを参照してください。

パラメータ
Name 任意の文字列
Hostname/IP XDR Collector (mgmt IP)
Port 514, 6514 または 1470
Protocol TLS
Source Hostname Dragos Platformのホスト名またはIP
Source Process 任意の文字列
Message Format RFC 3164 BSD Syslog
Message Delimiter TCPおよびTLSストリームには改行デリミタを使用

サンプルログ🔗

Dragosアラート🔗

<8>1 2022-03-03T15:02:28.652971Z dragos dragos_syslog - - system="Dragos Platform" createdAt="2022-03-03T15:02:33Z" summary="Test Message from Dragos App" severity="5" content="This test message was created by the Dragos Syslog App" asset_ip="00.000.000.0" asset_hostname="test" dst_asset_ip="00.00.00.0" dst_asset_hostname="test" dst_asset_mac="02:00:00:20:0e:71" dst_asset_domain="ip-10-10-255-1.ec2.test" src_asset_ip="00.000.000.0" src_asset_hostname="test" src_asset_mac="00:00:00:00:00:00" src_asset_domain="ip-10-10-test.ec2.test" id="1234567" asset_domain="ip-10-10-255-1.ec2.test" asset_id="12783" asset_mac="00:00:00:00:00:00"  detection_quad="Indicator" detectorId="test-detector-4444" dst_asset_id="36263" matchedRuleId="16" occurredAt="2022-03-03T15:02:33Z" originalSeverity="5" reviewed="False" src_asset_id="29596" type="Test"