コンテンツにスキップ

Nozomi Vantage インテグレーションガイド🔗

Nozomi Vantageは、SaaSベースのセキュリティプラットフォームであり、オペレーショナルテクノロジー(OT)、IoT(Internet of Things)、およびICS(Industrial Control System)資産の可視化と脅威検出を提供します。NozomiセンサーおよびCentral Management Console(CMC)からのアラートを単一のクラウドコンソールに集約します。

以下の手順では、Nozomi VantageのWebhookエクスポーターを設定し、HTTP Ingest経由でSecureworks® Taegis™ XDRへのログ取り込みを実現します。

注意

Nozomi GuardianインテグレーションがXDR Collectorを介してsyslog経由でCEFを転送するのとは異なり、Nozomi VantageはアラートをJSON形式でHTTPS経由で直接XDRのHTTP Ingestエンドポイントに送信します。どちらのインテグレーションも同じデータに正規化されるため、いずれのソースからのイベントもsensor_type = 'Nozomi'として表示され、sensor_typeだけでは区別できません。

重要

このインテグレーションをお客様のXDRテナントに追加するには、Taegis™ XDR for OTが必要です。必要なライセンスの取得については、アカウントマネージャーまたはCSMにお問い合わせください。

接続要件🔗

ソース 宛先 ポート/プロトコル
Nozomi Vantage (Webhookエクスポーター) XDR HTTP Ingestエンドポイント (リージョナルインジェストホスト) TCP/443 (HTTPS)

インテグレーションから提供されるデータ🔗

以下のNozomi VantageイベントタイプがXDRでサポートされています。

  • アラートイベント

注意

上記以外のイベントタイプはgenericスキーマに正規化されます。

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Nozomi Guardian Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

XDR HTTP Ingestの設定🔗

まずHTTP Ingestインテグレーションをプロビジョニングし、URLインテグレーションキーをNozomi Vantageに入力できるようにします。

  1. HTTP Ingestの設定ガイドに従い、XDRでHTTP Ingestインテグレーションを追加します。
  2. 作成時に表示されるインテグレーションキーURLをコピーします。

    重要

    インテグレーションキーURLは表示された際に必ず保存してください。ダイアログを閉じた後は再取得できません。Nozomi Vantageごとに1つのHTTP Ingestインテグレーションをプロビジョニングし、スループット、エラー率、正常性が個別にレポートされるようにしてください。

Nozomi Vantage Webhookエクスポーターの設定🔗

  1. Nozomi VantageのナビゲーションメニューからIntegrationsを選択します。
  2. Data integrationsページでAdd exporterを選択し、Webhook (Cloud)エクスポーターを選択します。
  3. 以下の情報を入力します:

    フィールド
    Description エクスポーターの説明的な名前(例:Taegis Alerts)。
    To URI XDRからコピーしたURL(例:https://<regional-ingest-host>/http-endpoint/v1/<integration-id>)。
    Authentication Bearer tokenを選択。
    Bearer token XDRからコピーしたインテグレーションキー
    Format NDJSONを選択。
    Entity type Alertsを選択。
    Query filter (任意) 送信するアラートを制限(例:where risk > 6)。空欄の場合はすべてのアラートを送信。
  4. (任意) Send updatesを有効にすると、アラートの後続変更も転送されます。新しい変更は個別のイベントとして処理され、データレイク内の既存イベントに重複統合されません。

  5. (任意) Send historical dataを有効にすると、エクスポーター接続時に既存アラートを遡って送信します。
  6. エクスポーターを保存します。エンドポイントへの接続に成功すると、Data integrationsリストにConnectivity statusConnectedとして表示されます。

注意

フォーマットはNDJSON、エンティティタイプはAlertsを選択してください。XDRはNozomiのアラートデータをscwx.thirdpartyalertスキーマに正規化します。他のフォーマットや他のエンティティタイプ(Assets、Nodes、Vulnerabilities)はgenericスキーマに正規化されます。

注意

Webhookエクスポーターは、標準のAuthorization HTTPヘッダーでベアラートークンを送信します。これはHTTP Ingestエンドポイントが期待する方式です。

アラートは生成されるたびに、改行区切りのJSON(1行につき1つのアラートオブジェクト)としてXDRに配信されます。

クエリ言語検索例🔗

直近24時間のthirdpartyイベントを検索するには:

FROM thirdparty WHERE sensor_type = 'Nozomi' and EARLIEST=-24h

Nozomiが最高リスクスコアを割り当てたイベントを検索するには:

FROM thirdparty WHERE sensor_type = 'Nozomi' AND vendor_severity = '10'

特定のNozomiセンサーからのthirdpartyイベントを検索するには:

FROM thirdparty WHERE sensor_type = 'Nozomi' AND sensor_id = 'Demo_Sensor_standard_838a8040'