コンテンツにスキップ

物理Taegis™ NDR Deviceインテグレーションガイド🔗

注意

Taegis NDRはiSensorの進化版であり、新しい名称とまもなく拡張される機能を備えています。この移行期間中、一部でiSensorのブランド名が参照されている場合があります。

Taegis™ NDRの詳細については、Taegis™ NDR概要をご覧ください。

Taegis™ NDRは、Secureworksが提供するマネージド型ネットワークIDS/IPSソリューションです。NDR Deviceはお客様のネットワークに設置され、すべてのネットワークトラフィックを監視し、最新の脅威インテリジェンスを活用してネットワークレベルの脅威を検出し、不正なトラフィックが検知された場合はSecureworks® Taegis™ XDRに検知情報を送信します。NDRは、Secureworks® Taegis™ MDRおよびSecureworks® Taegis™ Elite Threat Huntingに含まれる場合がありますが、個別契約の機能です。

対応機能:

  • インラインおよびパッシブのディープパケットインスペクション
  • Counter Threat Unit™ 脅威インテリジェンスの統合
  • ネットワーク上の不正なトラフィックのブロック機能

インテグレーションから提供されるデータ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Taegis NDR Netflow、NIDS NIDS

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

要件🔗

導入前に以下の要件を確認してください。

接続要件🔗

ソース 宛先 ポート/プロトコル
Taegis™ NDRデバイス(管理IP) 206.55.100.0/22
216.9.204.0/22		 TCP/443(プロキシ未使用)*

* (プロキシ未使用) — TCP/443の通信は、すべてのWebコンテンツフィルタリングデバイスから除外する必要があります。TCP/443の通信は、多くのWebコンテンツフィルタリングデバイスによって不正なHTTPSトラフィックとして検査・破棄されます。

最大転送単位(MTU)🔗

Secureworksは、ソフトウェアイメージに基づき2種類のNDR Deviceを提供しています:Standard NDR DeviceとHigh Speed NDR Deviceです。サポートされるMTUサイズは各タイプで異なります。

  • Standard — Standard IPQ3または3G/10G IPQ3 NDR Deviceを通過するパケットは、MTUが1522以下である必要があります。これを超えるとパケットロスが発生し、ネットワーク接続に悪影響を及ぼします。

  • High Speed — DPDKを実行するHigh Speed NDR Deviceは、最大9000のMTUをサポートします。デフォルト以外のMTUサイズ(1500)を使用したい場合は、導入時の打ち合わせで実装エンジニアにご連絡ください。

重要

MTUサイズは、NDR Deviceのすべての監視インターフェースに適用されます。つまり、NDR Deviceが複数のネットワークセグメントを監視している場合、すべてのセグメントで同じMTUである必要があります。

物理要件🔗

  1. Dellサーバーに同梱されているデフォルトの静的レールは、2ポストおよび4ポストラックの両方に対応しています。必要に応じて、4ポストラック専用のオプションのスライディングレールも利用可能です。

  2. NDR Deviceに接続されたモニターとUSBキーボード。

  3. NDR Deviceの管理インターフェースからネットワークへの接続。以下の図を参照してください。

  4. 付属の電源ケーブルをNDR Deviceに接続。

  5. デバイスの電源をオンにする。

導入の残りの手順については、Secureworks担当者にご連絡ください。

物理セットアップ🔗

インターフェース図🔗

  • Standard Four Port NDR Device (PER320):

Standard Four Port NDR Device (PER320)

  • Standard Four Port NDR Device (PER330):

Standard Four Port NDR Device (PER330)

  • Standard Four Port NDR Device (R340XL):

Standard Four Port NDR Device (R340XL)

  • Standard Four Port NDR Device (PER360):

Standard Four Port NDR Device (R360)

  • High Speed Four Port NDR Device (PER630,PER640):

High Speed Four Port NDR Device (PER630,PER640)

  • Standard Four Port NDR Device (PER6615):

Standard Four Port NDR Device (R6615)

  • High Speed Eight Port NDR Device (PER630,PER640):

High Speed Eight Port NDR Device (PER630,PER640)

  • High Speed 10G Two Port NDR Device (PER630,PER640):

High Speed 10G Two Port NDR Device (PER630,PER640)

  • High Speed 10G Four Port NDR Device (PER630,PER640):

High Speed 10G Four Port NDR Device (PER630,PER640)

  • High Speed 10G Four Port NDR Device (PER6615):

High Speed 10G Four Port NDR Device (PER6615)

ブリッジ🔗

NDR Deviceがネットワークにインラインで設置されている場合、監視ポートが組み合わさってブリッジを形成します。以下の表は、インターフェースとブリッジの対応を示しています。

ブリッジ インターフェース
br0 0, 1
br1 2, 3
br2 * 4, 5
br3 * 6, 7

システム仕様🔗

機能 目的 フォームファクター ラック対応 電源 熱放散 NIC
Standard (PER320) IDS/IPSアプライアンス 1Uラック Dell A7 Static ReadyRails(標準);
Dell A8 Sliding ReadyRails(オプション)		 ホットプラグ冗長電源(各350ワット) 最大1356 BTU/時 4ポート銅線Gbアダプター;
管理インターフェース;
ハードウェアフェイルオープン
Standard (PER330) IDS/IPSアプライアンス 1Uラック Dell A7 Static ReadyRails(標準);
Dell A8 Sliding ReadyRails(オプション)		 ホットプラグ冗長電源(各350ワット) 最大1357 BTU/時 4ポート銅線Gbアダプター;
4ポート光ファイバーGbアダプター;
管理インターフェース;
ハードウェアフェイルオープン
High Speed (PER630) IDS/IPSアプライアンス 1Uラック Dell A7 Static ReadyRails(標準);
Dell A8 Sliding ReadyRails(オプション)		 ホットプラグ冗長電源(各495ワット) 最大1908 BTU/時 4/8ポート銅線Gbアダプター;
4ポート光ファイバーGbアダプター;
2/4ポート光ファイバー10Gbアダプター;
管理インターフェース;
ハードウェアフェイルオープン
High Speed (PER640) IDS/IPSアプライアンス 1Uラック Dell A7 Static ReadyRails(標準);
Dell A8 Sliding ReadyRails(オプション)		 ホットプラグ冗長電源(各495ワット) 最大1908 BTU/時 4/8ポート銅線Gbアダプター;
4ポート光ファイバーGbアダプター;
2/4ポート光ファイバー10Gbアダプター;
管理インターフェース;
ハードウェアフェイルオープン

ファイバー接続情報🔗

このセクションでは、NDR Deviceのファイバーネットワークインターフェースカードの物理的な接続要件について説明します。なお、SecureworksはNDR Deviceの出荷時に必要なファイバーケーブルを提供していません。

2ポート10Gbファイバー🔗

10Gb NDR Deviceファイバーカードは、High Speed NDR Device(PER630/640)モデルでのみ提供されます。

  • ポート数 — デュアル
  • コネクタータイプ — Lucent Connector(LC)
  • フェイルオープンおよび/またはハードウェアバイパス — 対応
  • インターフェースデータ転送速度 — 10.3125 GBd
  • ファイバータイプ — マルチモード
  • 波長 — 850 nm
  • 光出力パワー — 標準:-3.1 dBm;最大:-7.3 dBm
  • 光受信感度 — 標準:-15.37 dBm;最大:-11 dBm

重要

High Speed以外のNDR Deviceで2ポート10Gbファイバーカードを使用する場合、検査スループットは3.5Gbpsに制限されます。

4ポート10Gbファイバー🔗

10Gb NDR Deviceファイバーカードは、High Speed NDR Device(PER630/640)モデルでのみ提供されます。

  • ポート数 — クアッド
  • コネクタータイプ — Lucent Connector(LC)
  • フェイルオープンおよび/またはハードウェアバイパス — 対応
  • インターフェースデータ転送速度 — 10.3125 GBd
  • ファイバータイプ — マルチモード
  • 波長 — 850 nm
  • 光出力パワー — 最小:-7.3 dBm;
  • 光受信感度 — 最大:-11 dBm

重要

High Speed以外のNDR Deviceで4ポート10Gbファイバーカードを使用する場合、検査スループットは3.5Gbpsに制限されます。

4ポート1Gファイバー🔗

  • ポート数 — クアッド
  • コネクタータイプ — Lucent Connector(LC)
  • フェイルオープンおよび/またはハードウェアバイパス — 対応
  • インターフェースデータ転送速度 — 10.3125 GBd
  • ファイバータイプ — マルチモード
  • 波長 — 850 nm
  • 光出力パワー — 標準:-6.0 dBm(TX -Switch Norma - Fiber - LC/LC);最小:-10.9 dBm
  • 光受信感度 — 標準:-20 dBm;最大:-15.6 dBm

重要

High Speed以外のNDR Deviceで4ポート1Gファイバーカードを使用する場合、検査スループットは3.5Gbpsに制限されます。

NDR Device導入時の考慮事項🔗

NDR Deviceの登録時に、お客様の組織に最適な導入方法を決定する必要があります。意思決定を支援するため、以下のオプションを確認し、登録プロセス前に必要な内容を決定してください。

インターフェース設定🔗

オートネゴシエートかハードコードか?ハードコードの場合、どの速度とデュプレックス設定にしますか?

注意

NDR Deviceとルーターやファイアウォールなどのレイヤ3デバイス間は、クロスオーバーケーブルの使用を強く推奨します。Auto MDIXにより、ほとんどの場合ストレートケーブルでもNDR Deviceとレイヤ3デバイス間の接続が可能ですが、両デバイスとも速度とデュプレックスをオートネゴシエートに設定する必要があります。いずれか一方がハードコードされている場合は、クロスオーバーケーブルが必要です。NDR Deviceとスイッチなどのレイヤ2デバイス間はストレートケーブルが必要です。これらの要件は、フェイルオープン機能を実現するために必要です。

トラフィック処理モード🔗

  • インラインアクティブモード(IPS)では、NDRデバイスの推奨インストール構成となり、すべてのトラフィックがNDRデバイスを通過し、シグネチャセットによって不正と判断されたネットワークトラフィックはブロックされます。

  • インラインパッシブモード(IDS)では、すべてのトラフィックがNDRデバイスを通過し、アラートのために検査されます。このデバイスは不正なトラフィックに対してアラートのみを発し、ブロックは行いません。インラインスニッフィングとも呼ばれます。

  • スニッファモード(IDS)(非インラインモニター)では、監視対象のネットワークセグメントがNDRデバイスにスパンされて検査されますが、トラフィックは一切ブロックされません。

HOME_NET🔗

HOME_NET は、お客様が重要と考え、NDRデバイスで保護したいネットワークまたはネットワークのリストです。NDRデバイスは、定義されたHOME_NETをもとに、検査対象となるトラフィックを決定します。これらのネットワークは、NDRデバイス上の $HOME_NET という変数として保存されます。正しいHOME_NETを選択することは、お客様のネットワークを適切にカバーするために非常に重要です。

EXTERNAL_NET🔗

EXTERNAL_NET は、HOME_NETを保護したい対象となるネットワークです。NDRデバイスでEXTERNAL_NETを設定する際には、一般的に次の2つのオプションがあります。

  • !$HOME_NET(つまり、HOME_NETで定義されたネットワーク以外。これは従来の構成です)
  • Any

NDRデバイスでHOME_NETからHOME_NETへのトラフィックが多く見られる場合、EXTERNAL_NETは !$HOME_NET に設定することで誤検知を減らすことができます。

EXTERNAL_NETを !$HOME_NET に設定しても、ラテラルムーブメント(横方向の移動)の可視性が制限されることはありません。弊社のCounter Threat Unit™(CTU)チームは、すべてのシグネチャを通信の方向性を考慮して作成しています。ラテラルムーブメントに利用される脆弱性向けのシグネチャは、「any」から「HOME_NET」へのトラフィックを検知するように設計されています。

プロキシサーバー🔗

NDRデバイスの展開時には、プロキシサーバーの存在を考慮する必要があります。監視対象の環境にプロキシサーバーが存在する場合、それが透過型かアクティブ型(クライアントがブラウザ設定で強制的にプロキシを経由する)か、アクティブ型の場合はクライアントブラウザがプロキシに接続するポート番号、そしてプロキシサーバーのIPアドレスをSecureworksにご連絡ください。

HTTP_PORTS🔗

プロキシサーバーを定義した後、アクティブなプロキシが存在する場合は、クライアントがアクティブプロキシ経由で利用するポート番号を記録する必要があります。このポート番号は $HTTP_PORTS 変数で使用されます。HTTP_PORTS変数は、NDRデバイスに対してHTTPトラフィックがこのポートで発生することを示し、すべてのHTTPシグネチャをそのトラフィックに適用するために使用されます。お客様の環境にプロキシサーバーが存在しない場合でも、HTTPトラフィックが下記のデフォルトポート以外のポートを通過している場合は、そのポート番号を記録し、HTTP_PORTS変数に追加して適切なHTTPトラフィック検査が行えるようにしてください。

デフォルトの $HTTP_PORTS 変数は以下の通りです: [80,81,88,311,383,591,593,901,1220,1414,1741,1830,2301,2381,2809,3037,3128,3702,4343,4848,5250,6988,7000,7001,7144,7145,7510,7777,7779,8000,8008,8014,8028,8080,8085,8088,8090,8118,8123,8180,8181,8243,8280,8300,8800,8888,8899,9000,9060,9080, 9090,9091,9443,9999,11371,34443,34444,41080,50002,55555]

シグネチャセット🔗

バランス🔗

バランスポリシーは、セキュリティカバレッジを強化しつつ、正当なトラフィックへの影響を最小限に抑えることを目指しています。バランスポリシーによって遮断されるトラフィックには、現在の脅威状況におけるマルウェアや、広く利用されているソフトウェアおよびあまり使われていないソフトウェアの重大度の高い脆弱性を悪用することを目的としたトラフィックなどが含まれますが、これらに限定されません。検知はされるものの遮断されないトラフィックには、インターネット上の偵察行為やノイズに関連するトラフィック、信頼度の低いシグネチャによってトリガーされるトラフィック、トレント利用などの疑わしいアクティビティに関連するトラフィックなどが含まれますが、これらに限定されません。

セキュリティ🔗

セキュリティポリシーは、実現可能な範囲で最も高いセキュリティカバレッジを提供しつつ、正当な企業トラフィックへの影響を抑えることを目指しています。セキュリティポリシーは接続性よりもセキュリティを重視するため、カバレッジを強化するために誤検知率の上昇を許容します。セキュリティポリシーによって遮断されるトラフィックには、現在の脅威状況で確認されているマルウェア、広く利用されているソフトウェアおよびあまり使われていないソフトウェアの高・中重大度の脆弱性を悪用するトラフィック、インターネット上の偵察行為やノイズに関連するトラフィック、SQLインジェクションやクロスサイトスクリプティング攻撃などの一般的な攻撃を防ぐための汎用シグネチャ、トレント利用などの疑わしいアクティビティに関連するトラフィックなどが含まれますが、これらに限定されません。

コネクティビティ🔗

コネクティビティポリシーは、企業環境において最もリスクの高い重大な脅威から保護します。正当なトラフィックへの影響は最小限に抑えられます。コネクティビティポリシーによって遮断されるトラフィックには、現在の脅威状況におけるマルウェアや、広く利用されているソフトウェアまたは実際に悪用されている既知の脆弱性に対する重大な脅威の攻撃試行などが含まれますが、これらに限定されません。検知はされるものの遮断されないトラフィックには、あまり使われていないアプリケーションにおける中程度の脅威イベントに対して保護するシグネチャによって特定された脅威などが含まれますが、これらに限定されません。ノイズを多く発生させるシグネチャはデフォルトで無効化されています。

物理NDR Device導入シナリオ🔗

以下の導入シナリオは、Secureworksのベストプラクティスに準拠した一般的な社内導入例です。検知の観点や内部資産のマスキング(NAT隠蔽)により、NDR Deviceをファイアウォール外部に設置することは推奨しません。その他のNDR Device導入シナリオについては、導入チームとともに検討・承認・文書化してください。

社内インライン🔗

Internal Inline

HAアクティブ/スタンバイ社内インライン🔗

HA Active/Standby Internal Inline

HAアクティブ/アクティブ社内インライン🔗

HA Active/Active Internal Inline

社内DMZインライン🔗

Internal DMZ Inline

社内スニファー🔗

Internal Sniffer

HA社内スニファー🔗

HA Internal Sniffer

社内DMZスニファー🔗

Internal DMZ Sniffer

登録準備🔗

NDR Deviceのインストールを開始する前に、インストールプロセス中に入力を求められる以下の重要な情報を準備してください。

  • デバイスホスト名
  • NDR Device登録キー — まだ受け取っていない場合は、オンボーディングプロジェクトマネージャーにご連絡のうえ、登録キーを取得してください。
  • 使用したいNDR Deviceモード — この時点で、Secureworks担当者と最適なソリューションを選定済みであるはずです。インストールプロセス中に3つのモードのいずれかを選択する必要があります。
  • NDR Deviceに割り当てるIPアドレス — NDR Deviceに静的IPを使用する場合は、IPアドレス、ネットワークマスク、ゲートウェイアドレスをインストール時に入力できるよう準備してください。これらの値は、NDR Device用にネットワークチームが事前に用意している必要があります。

設定と登録🔗

以下の手順に従って、NDR Deviceのインストールを開始してください。

  1. NDR Deviceの管理ポートをネットワークに接続します。
  2. モニターとキーボードをNDR Deviceに接続します。
  3. NDR Deviceの電源を入れます。NDR Device設定ウィザードが表示されます。

  4. 初期画面で、NDR Deviceは管理ポートが接続されているか自動検出を試みます。_No interface detected_と表示された場合は、管理インターフェースケーブルが正しく接続されているか確認してください。完了したら、Yesを選択してインターフェース検出を再試行します。

    No Interface Detected

  5. 次のプロンプトで、Configure Staticを選択し、IP、ネットマスク、ゲートウェイ情報を入力します。

    Configure Static IP

  6. NDR Deviceは、ゲートウェイへのpingを試み、情報が有効かどうかを確認します。ping失敗が予想される場合は、Ignoreを選択して登録プロセスを続行してください。

    Ignore Ping Failure

  7. Useオプションを選択してネットワーク設定を確認します。

    Confirm Configuration

  8. ネットワーク設定を確認後、デバイスで使用するNDR Deviceモードを選択し、OKを選択して続行します。

    Select NDR Device Mode

  9. オンボーディングプロジェクトマネージャーから取得した登録キーを入力します。必要に応じて特定のNDR Deviceバージョンをダウンロードする場合は、以下の注意事項を参照してください。そうでなければ、OKを選択します。

    Enter Registration Key

    注意

    オプション: コンプライアンスフレームワークでNDR Deviceバージョンの管理が必要な場合は、特定のNDR Deviceバージョンを選択してダウンロードできます。登録キーを入力後、NDR Device Versionを選択してください。

    Select NDR Device Version

    希望するNDR Deviceバージョンを入力し、OKを選択して続行します。

    Enter NDR Device Version

  10. 特定のNDR Deviceバージョンを入力しなかった場合は、自動ソフトウェアアップデートを有効または無効にするか選択します。これらのアップデートには、検査やネットワーク接続に影響しない軽微なOSパッチが含まれます。SecureworksはNoを選択してアップデートを有効にすることを推奨します。

    Enable Software Updates

  11. NDR Deviceは、登録キーを用いてSecureworksに接続し、ソフトウェアのダウンロードと自身の設定を行う一連の長い処理を完了します。

    Download and Configuration

  12. これでNDR Deviceのインストールが正常に完了しました。接続確認のため、Secureworks担当者にご連絡ください。

ネットワーク再構成🔗

必要に応じて、NDRデバイスCLIを使用してネットワーク構成を変更します。以下の手順に従ってください。

  1. 物理NDRデバイスのコンソールから、システムにモニターとキーボードを接続します。仮想デバイスの場合は、仮想NDRデバイスコンソールに移動します。出力が表示されていない場合は、Enter を押してコンソールを起動してください。

    NDRデバイスCLI

  2. set コマンドを以下のオプションとともに使用して、ネットワーク構成を変更します。

    • set dhcp [enable|disable]

    • set gateway <ip>

    • set ip <ip netmask>

    • set netmode [ips|monitor|passive]

    重要

    このコマンドは、NDRデバイスのネットワーク構成を変更する際に、Secureworksサポートと連携して作業する場合のみ使用してください。ローカルで行った変更はNDRデバイスの監視および管理に直接影響し、Secureworksサポートの指示なしに実施した場合、サービス停止につながる可能性があります。

登録エラーコード🔗

設定/登録中に以下のエラーコードが表示される場合があります。詳細は説明欄をご確認ください。

エラーコード 説明
20 ネットワーク設定の設定プロセスをユーザーがキャンセルしました
21 NDR Deviceモードの選択プロセスをユーザーがキャンセルしました
22 登録キーの設定プロセスをユーザーがキャンセルしました
23 取得したポリシーが有効なXMLファイルではありません
24 ポリシーにVPNパスワードフィールドが空欄で含まれています
25 VPN接続に失敗し、ユーザーが再試行しないことを選択しました
26 RCMS証明書の取得に失敗しました
27 証明書tarファイルに/var/mqm/ssl/Key.sthファイルがありません
28 ポリシー(Certinit.config)にCIPサーバー情報がありません
29 UINの取得に失敗しました - サーバーが無効な応答を返しました
30 UINの取得に失敗しました - サーバーから応答がありません
31 Imagetools設定にNDR Deviceバージョンがありません
32 イメージのMD5SumがサーバーのMD5Sumと一致しませんでした
33 イメージインストールに失敗しました(instimage.barebone)