Forcepoint Web Security🔗
以下は、Forcepoint Web Securityを設定してSecureworks® Taegis™ XDRへのログ取り込みを行うための手順です。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Forcepoint Web Security | Taegis™ XDR Collector (mgmt IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Forcepoint Web Security | HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Forcepoint Web Security プラットフォームの設定🔗
ログ転送を設定するには、Forcepoint Security Information Event Management (SIEM) Solutions{: target="blank"} の3ページにある _Enabling and configuring SIEM integration セクションの手順に従ってください。
以下の情報を入力してください。
| オプション | 必要な値 |
|---|---|
| IPアドレスまたはホスト名 | XDR Collector (mgmt IP) |
| ポート | 601 |
| 転送プロトコル | TCP |
| SIEMフォーマット | "syslog/CEF" |
クエリ言語検索例🔗
過去24時間のForcepoint Web Securityイベントを検索するには:
FROM http WHERE sensor_type = 'FORCEPOINT_SECURE_WEB_GATEWAY' and EARLIEST=-24h
特定のURLに関連するhttpイベントを検索するには:
FROM http WHERE sensor_type = 'FORCEPOINT_SECURE_WEB_GATEWAY' and uri_host = 'test.domain.com'
特定の送信元IPアドレスに関連するhttpイベントを検索するには:
FROM http WHERE sensor_type='FORCEPOINT_SECURE_WEB_GATEWAY' AND source_address = '10.19.50.23'
イベント詳細🔗
