コンテンツにスキップ

物理Taegis™ NDR Deviceインテグレーションガイド🔗

注意

Taegis NDRはiSensorの進化版であり、新しい名称とまもなく拡張される機能を備えています。この移行期間中、一部でiSensorのブランド名が参照されている場合があります。

Taegis™ NDRの詳細については、Taegis™ NDRの概要をご覧ください。

Taegis™ NDRは、Secureworksが提供するマネージド型ネットワークIDS/IPSソリューションです。NDR Deviceはお客様のネットワークに設置され、すべてのネットワークトラフィックを監視し、最新の脅威インテリジェンスを活用してネットワークレベルの脅威を検知し、不正なトラフィックが検知された場合はSecureworks® Taegis™ XDRに検知情報を送信します。NDRは、Secureworks® Taegis™ MDRおよびSecureworks® Taegis™ Elite Threat Huntingに含まれる場合がある、個別契約の機能です。

対応機能:

  • インラインおよびパッシブのディープパケットインスペクション
  • Counter Threat Unit™ 脅威インテリジェンスの統合
  • ネットワーク上の不正なトラフィックのブロック機能

インテグレーションから提供されるデータ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Taegis NDR Netflow, NIDS NIDS

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

要件🔗

導入前に以下の要件をご確認ください。

接続要件🔗

ソース 宛先 ポート/プロトコル
Taegis™ NDR デバイス(管理IP) 206.55.100.0/22
216.9.204.0/22		 TCP/443(プロキシ未使用)*

* (プロキシ未使用) — TCP/443の通信は、すべてのWebコンテンツフィルタリングデバイスから除外する必要があります。TCP/443の通信は、多くのWebコンテンツフィルタリングデバイスによって不正なHTTPSトラフィックとして検査・破棄されます。

最大転送単位(MTU)🔗

Secureworksは、ソフトウェアイメージに基づき2種類のNDR Deviceを提供しています:Standard NDR DeviceとHigh Speed NDR Deviceです。サポートされるMTUサイズは各タイプで異なります。

  • Standard — Standard IPQ3または3G/10G IPQ3 NDR Deviceを通過するパケットは、MTUが1522以下である必要があります。これを超える場合、パケットロスが発生し、ネットワーク接続に悪影響を及ぼします。

  • High Speed — DPDKを実行するHigh Speed NDR Deviceは、最大9000のMTUをサポートします。デフォルト以外のMTUサイズ(1500)を使用したい場合は、導入時に実装エンジニアにご相談ください。

重要

MTUサイズは、NDR Deviceのすべての監視インターフェースに適用されます。つまり、NDR Deviceが複数のネットワークセグメントを監視している場合、すべてのセグメントで同じMTUである必要があります。

物理要件🔗

  1. Dellサーバーに付属する標準の静的レールは、2ポストおよび4ポストラックの両方に対応しています。ご希望の場合、4ポストラック専用のオプションのスライディングレールもご利用いただけます。

  2. NDR Deviceに接続されたモニターおよびUSBキーボード。

  3. NDR Deviceの管理インターフェースからネットワークへの接続。以下の図をご参照ください。

  4. 付属の電源ケーブルをNDR Deviceに接続。

  5. デバイスの電源をオンにしてください。

導入の残りの手順については、Secureworks担当者にご連絡ください。

物理セットアップ🔗

インターフェース図🔗

  • Standard Four Port NDR Device (PER320):

Standard Four Port NDR Device (PER320)

  • Standard Four Port NDR Device (PER330):

Standard Four Port NDR Device (PER330)

  • Standard Four Port NDR Device (R340XL):

Standard Four Port NDR Device (R340XL)

  • Standard Four Port NDR Device (PER360):

Standard Four Port NDR Device (R360)

  • High Speed Four Port NDR Device (PER630,PER640):

High Speed Four Port NDR Device (PER630,PER640)

  • Standard Four Port NDR Device (PER6615):

Standard Four Port NDR Device (R6615)

  • High Speed Eight Port NDR Device (PER630,PER640):

High Speed Eight Port NDR Device (PER630,PER640)

  • High Speed 10G Two Port NDR Device (PER630,PER640):

High Speed 10G Two Port NDR Device (PER630,PER640)

  • High Speed 10G Four Port NDR Device (PER630,PER640):

High Speed 10G Four Port NDR Device (PER630,PER640)

  • High Speed 10G Four Port NDR Device (PER6615):

High Speed 10G Four Port NDR Device (PER6615)

ブリッジ🔗

NDR Deviceがネットワークにインラインで設置されている場合、監視ポートが組み合わさってブリッジを形成します。以下の表は、インターフェースとブリッジの対応を示しています。

ブリッジ インターフェース
br0 0, 1
br1 2, 3
br2 * 4, 5
br3 * 6, 7

システム仕様🔗

機能 目的 フォームファクター ラック対応 電源 熱放散 NIC
Standard (PER320) IDS/IPSアプライアンス 1Uラック Dell A7静的ReadyRails(標準);
Dell A8スライディングReadyRails(オプション)		 ホットプラグ冗長電源(各350ワット) 最大1356 BTU/時 4ポート銅線Gbアダプター;
管理インターフェース;
ハードウェアフェイルオープン
Standard (PER330) IDS/IPSアプライアンス 1Uラック Dell A7静的ReadyRails(標準);
Dell A8スライディングReadyRails(オプション)		 ホットプラグ冗長電源(各350ワット) 最大1357 BTU/時 4ポート銅線Gbアダプター;
4ポート光ファイバーGbアダプター;
管理インターフェース;
ハードウェアフェイルオープン
High Speed (PER630) IDS/IPSアプライアンス 1Uラック Dell A7静的ReadyRails(標準);
Dell A8スライディングReadyRails(オプション)		 ホットプラグ冗長電源(各495ワット) 最大1908 BTU/時 4/8ポート銅線Gbアダプター;
4ポート光ファイバーGbアダプター;
2/4ポート光ファイバー10Gbアダプター;
管理インターフェース;
ハードウェアフェイルオープン
High Speed (PER640) IDS/IPSアプライアンス 1Uラック Dell A7静的ReadyRails(標準);
Dell A8スライディングReadyRails(オプション)		 ホットプラグ冗長電源(各495ワット) 最大1908 BTU/時 4/8ポート銅線Gbアダプター;
4ポート光ファイバーGbアダプター;
2/4ポート光ファイバー10Gbアダプター;
管理インターフェース;
ハードウェアフェイルオープン

ファイバー接続情報🔗

このセクションでは、NDR Deviceのファイバーネットワークインターフェースカードの物理的な接続要件について説明します。Secureworksは、必要なファイバーケーブルをNDR Deviceの出荷時には提供していませんのでご注意ください。

2ポート10Gbファイバー🔗

10Gb NDR Deviceファイバーカードは、High Speed NDR Device(PER630/640)モデルでのみ提供されます。

  • ポート数 — デュアル
  • コネクタータイプ — Lucent Connector(LC)
  • フェイルオープンおよび/またはハードウェアバイパス — 対応
  • インターフェースデータ転送速度 — 10.3125 GBd
  • ファイバータイプ — マルチモード
  • 波長 — 850 nm
  • 光出力パワー — 標準:-3.1 dBm;最大:-7.3 dBm
  • 光受信感度 — 標準:-15.37 dBm;最大:-11 dBm

重要

High Speed以外のNDR Deviceで2ポート10Gbファイバーカードを使用する場合、検査スループットは3.5Gbpsに制限されます。

4ポート10Gbファイバー🔗

10Gb NDR Deviceファイバーカードは、High Speed NDR Device(PER630/640)モデルでのみ提供されます。

  • ポート数 — クアッド
  • コネクタータイプ — Lucent Connector(LC)
  • フェイルオープンおよび/またはハードウェアバイパス — 対応
  • インターフェースデータ転送速度 — 10.3125 GBd
  • ファイバータイプ — マルチモード
  • 波長 — 850 nm
  • 光出力パワー — 最小:-7.3 dBm;
  • 光受信感度 — 最大:-11 dBm

重要

High Speed以外のNDR Deviceで4ポート10Gbファイバーカードを使用する場合、検査スループットは3.5Gbpsに制限されます。

4ポート1Gファイバー🔗

  • ポート数 — クアッド
  • コネクタータイプ — Lucent Connector(LC)
  • フェイルオープンおよび/またはハードウェアバイパス — 対応
  • インターフェースデータ転送速度 — 10.3125 GBd
  • ファイバータイプ — マルチモード
  • 波長 — 850 nm
  • 光出力パワー — 標準:-6.0 dBm(TX -Switch Norma - Fiber - LC/LC);最小:-10.9 dBm
  • 光受信感度 — 標準:-20 dBm;最大:-15.6 dBm

重要

High Speed以外のNDR Deviceで4ポート1Gファイバーカードを使用する場合、検査スループットは3.5Gbpsに制限されます。

NDR Device導入時の考慮事項🔗

NDR Deviceの登録時に、お客様の組織に最適な導入方法を決定する必要があります。意思決定を支援するため、以下のオプションを確認し、登録プロセス前に必要な内容を決定してください。

インターフェース設定🔗

オートネゴシエートかハードコードか?ハードコードの場合、どの速度とデュプレックス設定にしますか?

注意

NDR Deviceとルーターやファイアウォールなどのレイヤー3デバイス間には、クロスオーバーケーブルの使用を強く推奨します。Auto MDIXにより、ほとんどの場合ストレートケーブルでもNDR Deviceとレイヤー3デバイス間の接続が可能ですが、両方のデバイスが速度とデュプレックスを自動ネゴシエートするよう設定されている必要があります。いずれか一方がハードコードされている場合は、クロスオーバーケーブルが必要です。NDR Deviceとスイッチなどのレイヤー2デバイス間はストレートケーブルが必要です。これらの要件は、フェイルオープン機能を実現するために必要です。

トラフィック処理モード🔗

  • インラインアクティブモード(IPS)では、NDRデバイスの推奨インストール構成となり、すべてのトラフィックがNDRデバイスを通過し、シグネチャセットによって不正と判断されたネットワークトラフィックはブロックされます。

  • インラインパッシブモード(IDS)では、すべてのトラフィックがNDRデバイスを通過し、アラートのために検査されます。このデバイスは不正なトラフィックに対してアラートのみを発し、ブロックは行いません。インラインスニッフィングとも呼ばれます。

  • スニッファーモード(IDS)(非インラインモニター)では、監視対象のネットワークセグメントがNDRデバイスにスパンされて検査されますが、トラフィックは一切ブロックされません。

HOME_NET🔗

HOME_NET は、お客様にとって重要であり、NDRデバイスで保護したいネットワークまたはネットワークのリストです。NDRデバイスは、定義されたHOME_NETを使用して、検査対象となるトラフィックを決定します。これらのネットワークは、NDRデバイス上の $HOME_NET という変数として保存されます。正しいHOME_NETを選択することは、お客様のネットワークを適切にカバーするために非常に重要です。

EXTERNAL_NET🔗

EXTERNAL_NET は、HOME_NETを保護したい対象となるネットワークです。NDRデバイスでEXTERNAL_NETを設定する際には、一般的に次の2つのオプションがあります。

  • !$HOME_NET(つまり、HOME_NETで定義されたネットワーク以外。これは従来の構成です)
  • Any

NDRデバイスでHOME_NETからHOME_NETへのトラフィックが多く見られる場合は、EXTERNAL_NETを !$HOME_NET に設定して誤検知を減らすべきです。

EXTERNAL_NETを !$HOME_NET に設定しても、ラテラルムーブメント(横方向の移動)の可視性が制限されることはありません。弊社のCounter Threat Unit™(CTU)チームは、すべてのシグネチャを通信の方向性を考慮して作成しています。ラテラルムーブメントに利用される脆弱性向けのシグネチャは、「any」から「HOME_NET」へのトラフィックを検知するように設計されています。

プロキシサーバー🔗

NDRデバイスの展開時には、プロキシサーバーの存在を考慮する必要があります。監視対象の環境にプロキシサーバーが存在する場合、それが透過型かアクティブ型(クライアントがブラウザ設定でプロキシ経由を強制される)か、アクティブ型の場合はクライアントブラウザがプロキシに接続するポート番号、そしてプロキシのIPアドレスをSecureworksにご連絡ください。

HTTP_PORTS🔗

プロキシサーバーを定義した後、アクティブなプロキシがある場合は、クライアントがアクティブプロキシ経由で利用するポート番号を記録する必要があります。このポート番号は $HTTP_PORTS 変数に使用されます。HTTP_PORTS変数は、NDRデバイスに対してHTTPトラフィックがこのポートで発生することを示し、すべてのHTTPシグネチャをそのトラフィックに適用するために使用されます。お客様の環境にプロキシサーバーが存在しない場合でも、HTTPトラフィックが下記のデフォルトポート以外のポートを通過している場合は、そのポート番号を記録し、HTTP_PORTS変数に追加して適切なHTTPトラフィック検査が行えるようにしてください。

デフォルトの $HTTP_PORTS 変数は以下の通りです: [80,81,88,311,383,591,593,901,1220,1414,1741,1830,2301,2381,2809,3037,3128,3702,4343,4848,5250,6988,7000,7001,7144,7145,7510,7777,7779,8000,8008,8014,8028,8080,8085,8088,8090,8118,8123,8180,8181,8243,8280,8300,8800,8888,8899,9000,9060,9080, 9090,9091,9443,9999,11371,34443,34444,41080,50002,55555]

シグネチャセット🔗

バランス🔗

バランスポリシーは、セキュリティカバレッジを強化しつつ、正当なトラフィックへの影響を最小限に抑えることを目指します。バランスポリシーによって遮断されるトラフィックには、現在の脅威状況におけるマルウェアや、広く利用されているソフトウェアおよびあまり使われていないソフトウェアの重大度の高い脆弱性を悪用することを目的としたトラフィックなどが含まれます(これらに限定されません)。検知はされるものの遮断されないトラフィックには、インターネット上の偵察行為やノイズに関連するトラフィック、信頼度の低いシグネチャによってトリガーされるトラフィック、トレント利用など疑わしい活動に関連するトラフィックなどが含まれます(これらに限定されません)。

セキュリティ🔗

セキュリティポリシーは、実現可能な範囲で最も高いセキュリティカバレッジを提供しつつ、正当な企業トラフィックへの影響を抑えることを目指します。セキュリティポリシーは接続性よりも強固なセキュリティを優先するため、カバレッジを高めるために誤検知率の上昇を許容します。セキュリティポリシーによって遮断されるトラフィックには、現在の脅威状況で確認されているマルウェア、広く利用されているソフトウェアおよびあまり使われていないソフトウェアの重大度が高い・中程度の脆弱性を悪用することを目的としたトラフィック、インターネット上の偵察行為やノイズに関連するトラフィック、SQLインジェクションやクロスサイトスクリプティング攻撃などの一般的な攻撃を防ぐための汎用シグネチャ、トレント利用など疑わしい活動に関連するトラフィックなどが含まれます(これらに限定されません)。

コネクティビティ🔗

コネクティビティポリシーは、企業環境において最もリスクの高い深刻な脅威から保護します。正当なトラフィックへの影響は最小限に抑えられます。コネクティビティポリシーによって遮断されるトラフィックには、現在の脅威状況におけるマルウェアや、広く利用されているソフトウェア、または実際に悪用されている既知の脆弱性に対する重大な脅威のエクスプロイト試行などが含まれます(これらに限定されません)。検知はされるものの遮断されないトラフィックには、あまり使われていないアプリケーションにおける中程度の脅威イベントから保護するシグネチャによって特定された脅威などが含まれます(これらに限定されません)。ノイズを多く発生させるシグネチャはデフォルトで無効化されています。

物理NDR Device導入シナリオ🔗

以下の導入シナリオは、Secureworksのベストプラクティスに準拠した一般的な社内導入例です。検知の観点や内部資産のマスキング(NAT隠蔽)により、NDR Deviceをファイアウォールの外部に設置することは推奨されません。その他のNDR Device導入シナリオについては、導入チームとともに確認・承認・文書化してください。

社内インライン🔗

Internal Inline

HAアクティブ/スタンバイ社内インライン🔗

HA Active/Standby Internal Inline

HAアクティブ/アクティブ社内インライン🔗

HA Active/Active Internal Inline

社内DMZインライン🔗

Internal DMZ Inline

社内スニファー🔗

Internal Sniffer

HA社内スニファー🔗

HA Internal Sniffer

社内DMZスニファー🔗

Internal DMZ Sniffer

登録準備🔗

NDR Deviceのインストールを開始する前に、インストールプロセス中に求められる以下の重要な情報を準備してください。

  • デバイスホスト名
  • NDR Device登録キー — まだ受け取っていない場合は、オンボーディングプロジェクトマネージャーにご連絡のうえ、登録キーを取得してください。
  • 使用したいNDR Deviceモード — この時点で、最適なソリューションについてSecureworks担当者と協議済みであるはずです。インストールプロセス中に3つのモードのいずれかを選択する必要があります。
  • NDR Deviceに割り当てるIPアドレス — NDR Deviceに静的IPを使用する場合は、IPアドレス、ネットワークマスク、ゲートウェイアドレスをインストール時に入力できるようご用意ください。これらの値は、NDR Device用にネットワークチームが事前に割り当てている必要があります。

設定および登録🔗

NDR Deviceのインストールを開始するには、以下の手順に従ってください。

  1. NDR Deviceの管理ポートをネットワークに接続します。
  2. モニターとキーボードをNDR Deviceに接続します。
  3. NDR Deviceの電源をオンにします。NDR Device設定ウィザードが表示されます。

  4. 初期画面で、NDR Deviceは管理ポートが接続されているか自動検出を試みます。_No interface detected_と表示された場合は、管理インターフェースケーブルが正しく接続されているかご確認ください。確認後、Yesを選択してインターフェース検出を再試行してください。

    No Interface Detected

  5. 次のプロンプトで、Configure Staticを選択し、IP、ネットマスク、ゲートウェイ情報を入力します。

    Configure Static IP

  6. NDR Deviceは、入力された情報が有効かどうかを確認するためにゲートウェイへのpingを試みます。ping失敗が予想される場合は、Ignoreを選択して登録プロセスを続行してください。

    Ignore Ping Failure

  7. Useオプションを選択してネットワーク設定を確定します。

    Confirm Configuration

  8. ネットワーク設定を確定した後、デバイスで使用するNDR Deviceモードを選択し、OKを選択して続行します。

    Select NDR Device Mode

  9. オンボーディングプロジェクトマネージャーから取得した登録キーを入力します。必要に応じて特定のNDR Deviceバージョンをダウンロードする場合は、以下の注意事項をご参照ください。そうでなければ、OKを選択します。

    Enter Registration Key

    注意

    オプション: コンプライアンスフレームワークによりNDR Deviceのバージョン管理が必要な場合は、特定のNDR Deviceバージョンを選択してダウンロードできます。登録キーを入力後、NDR Device Versionを選択してください。

    Select NDR Device Version

    希望するNDR Deviceバージョンを入力し、OKを選択して続行します。

    Enter NDR Device Version

  10. 特定のNDR Deviceバージョンを入力するオプションを選択しなかった場合、自動ソフトウェアアップデートを有効または無効にするか選択します。これらのアップデートには、検査やネットワーク接続に影響を与えない軽微なOSパッチが含まれます。Secureworksは、アップデートを有効にするためにNoを選択することを推奨します。

    Enable Software Updates

  11. NDR Deviceは、登録キーを用いてSecureworksに接続し、ソフトウェアのダウンロードと自身の設定を行う一連の長い処理を実行します。

    Download and Configuration

  12. これでNDR Deviceのインストールが正常に完了しました。接続確認のため、Secureworks担当者にご連絡ください。

ネットワーク再構成🔗

必要に応じて、NDRデバイスCLIを使用してネットワーク設定を変更します。以下の手順に従ってください。

  1. 物理NDRデバイスのコンソールから、モニターとキーボードをシステムに接続します。仮想デバイスの場合は、仮想NDRデバイスコンソールに移動します。出力が表示されていない場合は、Enter を押してコンソールを起動してください。

    NDR Device CLI

  2. set コマンドを以下のオプションとともに使用して、ネットワーク設定を変更します。

    • set dhcp [enable|disable]

    • set gateway <ip>

    • set ip <ipv4> <netmask> <gateway>

    • set netmode [passive|ips|monitor]

    重要

    このコマンドは、NDRデバイスのネットワーク設定を変更する際にSecureworksサポートと連携して作業する場合のみ使用してください。ローカルで行った変更はNDRデバイスの監視および管理に直接影響し、Secureworksサポートの指示なしに実施した場合、サービス停止につながる可能性があります。

登録エラーコード🔗

設定/登録中に以下のエラーコードが表示される場合があります。詳細は説明欄をご確認ください。

エラーコード 説明
20 ネットワーク設定の設定プロセスをユーザーがキャンセルしました
21 NDR Deviceモードの選択プロセスをユーザーがキャンセルしました
22 登録キーの設定プロセスをユーザーがキャンセルしました
23 取得したポリシーが有効なXMLファイルではありません
24 ポリシーに空のVPNパスワードフィールドが含まれています
25 VPN接続に失敗し、ユーザーが再試行しないことを選択しました
26 RCMS証明書の取得に失敗しました
27 証明書tarファイルに/var/mqm/ssl/Key.sthファイルがありません
28 ポリシー(Certinit.config)にCIPサーバー情報がありません
29 UINの取得に失敗しました - サーバーが無効な応答を返しました
30 UINの取得に失敗しました - サーバーから応答がありません
31 Imagetools設定にNDR Deviceバージョンがありません
32 イメージのMD5SumがサーバーのMD5Sumと一致しませんでした
33 イメージのインストールに失敗しました(instimage.barebone)