Nozomi Vantage インテグレーションガイド🔗
Nozomi Vantageは、SaaSベースのセキュリティプラットフォームであり、オペレーショナルテクノロジー(OT)、IoT(Internet of Things)、およびICS(Industrial Control System)資産の可視化と脅威検出を提供します。NozomiセンサーおよびCentral Management Console(CMC)からのアラートを単一のクラウドコンソールに集約します。
以下の手順では、Nozomi VantageのWebhookエクスポーターを設定し、HTTP Ingest経由でSecureworks® Taegis™ XDRへのログ取り込みを実現します。
注意
Nozomi GuardianインテグレーションがXDR Collectorを介してsyslog経由でCEFを転送するのとは異なり、Nozomi VantageはアラートをJSON形式でHTTPS経由で直接XDRのHTTP Ingestエンドポイントに送信します。どちらのインテグレーションも同じデータに正規化されるため、いずれのソースからのイベントもsensor_type = 'Nozomi'として表示され、sensor_typeだけでは区別できません。
重要
このインテグレーションをお客様のXDRテナントに追加するには、Taegis™ XDR for OTが必要です。必要なライセンスの取得については、アカウントマネージャーまたはCSMにお問い合わせください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Nozomi Vantage (Webhookエクスポーター) | XDR HTTP Ingestエンドポイント (リージョナルインジェストホスト) | TCP/443 (HTTPS) |
インテグレーションから提供されるデータ🔗
以下のNozomi VantageイベントタイプがXDRでサポートされています。
- アラートイベント
注意
上記以外のイベントタイプはgenericスキーマに正規化されます。
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Nozomi Guardian | Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
XDR HTTP Ingestの設定🔗
まずHTTP Ingestインテグレーションをプロビジョニングし、URLとインテグレーションキーをNozomi Vantageに入力できるようにします。
- HTTP Ingestの設定ガイドに従い、XDRでHTTP Ingestインテグレーションを追加します。
-
作成時に表示されるインテグレーションキーとURLをコピーします。
重要
インテグレーションキーとURLは表示された際に必ず保存してください。ダイアログを閉じた後は再取得できません。Nozomi Vantageごとに1つのHTTP Ingestインテグレーションをプロビジョニングし、スループット、エラー率、正常性が個別にレポートされるようにしてください。
Nozomi Vantage Webhookエクスポーターの設定🔗
- Nozomi VantageのナビゲーションメニューからIntegrationsを選択します。
- Data integrationsページでAdd exporterを選択し、Webhook (Cloud)エクスポーターを選択します。
-
以下の情報を入力します:
フィールド 値 Description エクスポーターの説明的な名前(例: Taegis Alerts)。To URI XDRからコピーしたURL(例: https://<regional-ingest-host>/http-endpoint/v1/<integration-id>)。Authentication Bearer tokenを選択。 Bearer token XDRからコピーしたインテグレーションキー。 Format NDJSONを選択。 Entity type Alertsを選択。 Query filter (任意) 送信するアラートを制限(例: where risk > 6)。空欄の場合はすべてのアラートを送信。 -
(任意) Send updatesを有効にすると、アラートの後続変更も転送されます。新しい変更は個別のイベントとして処理され、データレイク内の既存イベントに重複統合されません。
- (任意) Send historical dataを有効にすると、エクスポーター接続時に既存アラートを遡って送信します。
- エクスポーターを保存します。エンドポイントへの接続に成功すると、Data integrationsリストにConnectivity statusがConnectedとして表示されます。
注意
フォーマットはNDJSON、エンティティタイプはAlertsを選択してください。XDRはNozomiのアラートデータをscwx.thirdpartyalertスキーマに正規化します。他のフォーマットや他のエンティティタイプ(Assets、Nodes、Vulnerabilities)はgenericスキーマに正規化されます。
注意
Webhookエクスポーターは、標準のAuthorization HTTPヘッダーでベアラートークンを送信します。これはHTTP Ingestエンドポイントが期待する方式です。
アラートは生成されるたびに、改行区切りのJSON(1行につき1つのアラートオブジェクト)としてXDRに配信されます。
クエリ言語検索例🔗
直近24時間のthirdpartyイベントを検索するには:
FROM thirdparty WHERE sensor_type = 'Nozomi' and EARLIEST=-24h
Nozomiが最高リスクスコアを割り当てたイベントを検索するには:
FROM thirdparty WHERE sensor_type = 'Nozomi' AND vendor_severity = '10'
特定のNozomiセンサーからのthirdpartyイベントを検索するには:
FROM thirdparty WHERE sensor_type = 'Nozomi' AND sensor_id = 'Demo_Sensor_standard_838a8040'