Nozomi Guardianインテグレーションガイド🔗
Nozomi Guardianは、産業用制御システム(ICS)の運用を維持するために設計されたネットワークベースのセキュリティソリューションです。OTおよびIoT資産の可視化と監視を包括的に提供するため、ネットワークトラフィックをパッシブに観察します。
以下の手順は、GuardianからSecureworks® Taegis™ XDRへのログ取り込みを実現するための設定方法です。
ログは、個々のGuardianセンサーまたはCentral Management Console(CMC)から送信できます。
重要
このインテグレーションをお客様のXDRテナントに追加するには、Taegis™ XDR for OT が必要です。必要なライセンスの取得については、アカウントマネージャーまたはCSMにお問い合わせください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| GuardianセンサーまたはCMC | Taegis™ XDR Collector(管理IP) | UDP/514 |
インテグレーションから提供されるデータ🔗
XDRがサポートするGuardianイベントタイプは以下の通りです。
- アラートイベント
注意
上記に記載されていないイベントタイプは、genericスキーマに正規化されます。
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Nozomi Guardian | Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Guardianセンサーの設定🔗
Nozomiユーザーマニュアルの手順に従い、GuardianセンサーがイベントをCEF形式でXDRへ転送するように設定してください。
以下の情報を入力します。
| パラメータ | 値 |
|---|---|
| 設定するエンドポイント | Common Event Format(CEF) |
| To URI | udp://<XDR Collector(管理IP)>:514 |
クエリ言語を用いた詳細検索🔗
クエリ言語検索の例🔗
直近24時間のthirdpartyイベントを検索する場合:
FROM thirdparty WHERE sensor_type = 'Nozomi' and EARLIEST=-24h
Nozomiで「Critical」と分類されたイベントを検索する場合:
WHERE sensor_type = 'Nozomi' AND vendor_severity = 'High'
特定のGuardianセンサーまたはCMCからのthirdpartyイベントを検索する場合:
FROM thirdparty WHERE sensor_type = 'Nozomi' AND sensor_id = '10.10.10.10'
イベント詳細🔗
サンプルログ🔗
Guardianアラート🔗
CEF:0|Nozomi Networks|N2OS|23.2.0-08022302_214DC|VI:NEW-LINK-GROUP|New link group|8|app=other dvc=192.168.10.10 dvchost=nozomi-guardian-1 cs1=7.5 cs2=true cs3=d25c520f-7f79-4820-b5ae-d1b334b05c75 cs5=["013fc297-fef2-5720-8cff-70fe5218dec8"] cs6=3 cs1Label=Risk cs2Label=IsSecurity cs3Label=Id cs5Label=Parents cs6Label=n2os_schema dst=10.10.10.20 dhost=demo-1.domain.com dmac=AA:11:BB:22:CC:33 dpt=54443 flexString3=New link group flexString3Label=Name msg=New link group with protocol other between 192.168.10.20 and 10.10.10.20 src=192.168.10.20 shost=hostname-1 smac=AA:11:BB:22:CC:33 spt=50553 proto=TCP start=1698105234260