仮想Taegis™ NDRインテグレーションガイド🔗

注意

Taegis NDRはiSensorの進化版であり、新しい名称とまもなく拡張される機能を備えています。この移行期間中、一部でiSensorのブランド名が参照されている場合があります。

Taegis™ NDRの詳細については、Taegis™ NDRの概要をご覧ください。

Taegis™ NDRは、Secureworksが提供するマネージドネットワークIDS/IPSソリューションです。NDR Deviceはお客様のネットワークに設置され、すべてのネットワークトラフィックを監視し、最新の脅威インテリジェンスを活用してネットワークレベルの脅威を検知し、不正なトラフィックが検知された場合はSecureworks® Taegis™ XDRに検知情報を送信します。NDRは、Secureworks® Taegis™ MDRやSecureworks® Taegis™ Elite Threat Huntingに含まれる場合もある、個別契約の機能です。

対応機能:

インラインおよびパッシブのディープパケットインスペクション
Counter Threat Unit™ 脅威インテリジェンスの統合
ネットワーク上の不正なトラフィックのブロック機能

インテグレーションから提供されるデータ🔗

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Taegis NDR		Netflow, NIDS	NIDS

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

要件🔗

導入前に、以下の要件を確認してください。

展開モード🔗

仮想NDR Deviceを展開する前に、お客様の仮想環境について十分に理解しておく必要があります。お客様は、NDR Deviceがネットワークトラフィックを検査できるように仮想ネットワークを構成する責任があります。例となる構成は、仮想NDR Deviceの展開シナリオセクションをご参照ください。

接続要件🔗

ソース	宛先	ポート/プロトコル
Taegis™ NDR デバイス（管理IP）	206.55.100.0/22 216.9.204.0/22	TCP/443（プロキシ未使用）*

* （プロキシ未使用） — TCP/443の通信は、すべてのWebコンテンツフィルタリングデバイスから除外する必要があります。TCP/443の通信は、多くのWebコンテンツフィルタリングデバイスによって不正なHTTPSトラフィックとして検査・破棄されます。

最大転送単位（MTU）🔗

仮想NDR Deviceを通過するパケットは、MTUが1518以下である必要があります。これを超える場合、パケットロスが発生し、ネットワーク接続に悪影響を及ぼします。

システム仕様🔗

Secureworksは、仮想NDR Device用の単一のベースイメージを提供しています。以下は、そのイメージのデフォルトシステム仕様です。

項目	NDR Device VM仕様
CPU	8コア
メモリ	8 GB
ストレージ	60 GB
インスペクションスループット	1000 Mbps
ソケット数	1
ソケットあたりのコア数	8
必要な機能	AVX + AVX2、1G Hugepages、CPUの仮想化拡張機能有効化

注意

システム仕様は、検査するネットワークトラフィック量やセンサーのパフォーマンスに応じてデフォルト設定から調整が必要な場合がありますが、これらの最小値を下回ってはいけません。

NDR Device展開時の考慮事項🔗

NDR Deviceの登録時に、お客様の組織に最適な実装方法を決定する必要があります。意思決定を支援するため、以下のオプションを確認し、登録プロセス前に必要な内容を決定してください。

トラフィック処理モード🔗

インラインアクティブモード（IPS）では、NDRデバイスの推奨インストール構成となり、すべてのトラフィックがNDRデバイスを通過し、シグネチャセットによって不正と判断されたネットワークトラフィックはブロックされます。
インラインパッシブモード（IDS）では、すべてのトラフィックがNDRデバイスを通過し、アラートのために検査されます。このデバイスは不正なトラフィックに対してアラートのみを発し、ブロックは行いません。インラインスニッフィングとも呼ばれます。
スニッファーモード（IDS）（非インラインモニター）では、監視対象のネットワークセグメントがNDRデバイスにスパンされて検査されますが、トラフィックは一切ブロックされません。

重要

仮想NDR Deviceは、インライン展開時にフェイルオープン対応の物理ネットワークインターフェースカードに依存します。フェイルオープンカードがある場合のみ、インラインモードの使用を強く推奨します。

HOME_NET🔗

HOME_NET は、お客様にとって重要であり、NDRデバイスで保護したいネットワークまたはネットワークのリストです。NDRデバイスは、定義されたHOME_NETを使用して、検査対象となるトラフィックを決定します。これらのネットワークは、NDRデバイス上の $HOME_NET という変数として保存されます。正しいHOME_NETを選択することは、お客様のネットワークを適切にカバーするために非常に重要です。

EXTERNAL_NET🔗

EXTERNAL_NET は、HOME_NETを保護したい対象となるネットワークです。NDRデバイスでEXTERNAL_NETを設定する際には、一般的に次の2つのオプションがあります。

!$HOME_NET（つまり、HOME_NETで定義されたネットワーク以外。これは従来の構成です）
Any

NDRデバイスでHOME_NETからHOME_NETへのトラフィックが多く見られる場合は、EXTERNAL_NETを !$HOME_NET に設定して誤検知を減らすべきです。

EXTERNAL_NETを !$HOME_NET に設定しても、ラテラルムーブメント（横方向の移動）の可視性が制限されることはありません。弊社のCounter Threat Unit™（CTU）チームは、すべてのシグネチャを通信の方向性を考慮して作成しています。ラテラルムーブメントに利用される脆弱性向けのシグネチャは、「any」から「HOME_NET」へのトラフィックを検知するように設計されています。

プロキシサーバー🔗

NDRデバイスの展開時には、プロキシサーバーの存在を考慮する必要があります。監視対象の環境にプロキシサーバーが存在する場合、それが透過型かアクティブ型（クライアントがブラウザ設定でプロキシ経由を強制される）か、アクティブ型の場合はクライアントブラウザがプロキシに接続するポート番号、そしてプロキシのIPアドレスをSecureworksにご連絡ください。

HTTP_PORTS🔗

プロキシサーバーを定義した後、アクティブなプロキシがある場合は、クライアントがアクティブプロキシ経由で利用するポート番号を記録する必要があります。このポート番号は $HTTP_PORTS 変数に使用されます。HTTP_PORTS変数は、NDRデバイスに対してHTTPトラフィックがこのポートで発生することを示し、すべてのHTTPシグネチャをそのトラフィックに適用するために使用されます。お客様の環境にプロキシサーバーが存在しない場合でも、HTTPトラフィックが下記のデフォルトポート以外のポートを通過している場合は、そのポート番号を記録し、HTTP_PORTS変数に追加して適切なHTTPトラフィック検査が行えるようにしてください。

デフォルトの $HTTP_PORTS 変数は以下の通りです： [80,81,88,311,383,591,593,901,1220,1414,1741,1830,2301,2381,2809,3037,3128,3702,4343,4848,5250,6988,7000,7001,7144,7145,7510,7777,7779,8000,8008,8014,8028,8080,8085,8088,8090,8118,8123,8180,8181,8243,8280,8300,8800,8888,8899,9000,9060,9080, 9090,9091,9443,9999,11371,34443,34444,41080,50002,55555]

シグネチャセット🔗

バランス🔗

バランスポリシーは、セキュリティカバレッジを強化しつつ、正当なトラフィックへの影響を最小限に抑えることを目指します。バランスポリシーによって遮断されるトラフィックには、現在の脅威状況におけるマルウェアや、広く利用されているソフトウェアおよびあまり使われていないソフトウェアの重大度の高い脆弱性を悪用することを目的としたトラフィックなどが含まれます（これらに限定されません）。検知はされるものの遮断されないトラフィックには、インターネット上の偵察行為やノイズに関連するトラフィック、信頼度の低いシグネチャによってトリガーされるトラフィック、トレント利用など疑わしい活動に関連するトラフィックなどが含まれます（これらに限定されません）。

セキュリティ🔗

セキュリティポリシーは、実現可能な範囲で最も高いセキュリティカバレッジを提供しつつ、正当な企業トラフィックへの影響を抑えることを目指します。セキュリティポリシーは接続性よりも強固なセキュリティを優先するため、カバレッジを高めるために誤検知率の上昇を許容します。セキュリティポリシーによって遮断されるトラフィックには、現在の脅威状況で確認されているマルウェア、広く利用されているソフトウェアおよびあまり使われていないソフトウェアの重大度が高い・中程度の脆弱性を悪用することを目的としたトラフィック、インターネット上の偵察行為やノイズに関連するトラフィック、SQLインジェクションやクロスサイトスクリプティング攻撃などの一般的な攻撃を防ぐための汎用シグネチャ、トレント利用など疑わしい活動に関連するトラフィックなどが含まれます（これらに限定されません）。

コネクティビティ🔗

コネクティビティポリシーは、企業環境において最もリスクの高い深刻な脅威から保護します。正当なトラフィックへの影響は最小限に抑えられます。コネクティビティポリシーによって遮断されるトラフィックには、現在の脅威状況におけるマルウェアや、広く利用されているソフトウェア、または実際に悪用されている既知の脆弱性に対する重大な脅威のエクスプロイト試行などが含まれます（これらに限定されません）。検知はされるものの遮断されないトラフィックには、あまり使われていないアプリケーションにおける中程度の脅威イベントから保護するシグネチャによって特定された脅威などが含まれます（これらに限定されません）。ノイズを多く発生させるシグネチャはデフォルトで無効化されています。

仮想NDR Deviceの展開シナリオ🔗

スニファー — 内部ネットワークトラフィック🔗

この展開例は、物理IDSスニファーの展開を模倣したものです。

仮想NDR Deviceには、少なくとも2つの仮想インターフェースが含まれます:

管理トラフィック
ネットワーク監視トラフィック
- コアスイッチにミラーポートを設定し、それを物理VMwareインターフェースに直接接続します。ミラーポート用の仮想スイッチを作成し、プロミスキャスモードを有効にします。仮想NDR Deviceは、ミラーポートトラフィックを含む仮想スイッチを使用するネットワーク監視インターフェースを構成します。

注意

この展開例には、物理VMwareシャーシ上で未使用のインターフェースが必要です。

スニファー — 仮想トラフィックのみ🔗

この展開例は、仮想NDR DeviceがESXiサーバー内の仮想ホストをパッシブに検査する方法を提供します。

仮想iSensorには、少なくとも2つの仮想インターフェースが含まれます:

管理トラフィック
ネットワーク監視トラフィック
- 監視対象の仮想マシンがネットワーク通信に使用する仮想スイッチの一部であるポートグループ（プロミスキャスモード有効）に接続します。
- 仮想スイッチの数に応じて、仮想NDR Device上に追加の仮想ネットワーク監視インターフェースが必要になる場合があります。

インライン — 仮想トラフィックのみ、仮想化インターフェース🔗

重要

この仮想NDR Deviceの展開はフェイルオープンしません。NDR Deviceが再起動またはオフラインの場合、ネットワークトラフィックが中断されます。

この展開例は、仮想NDR DeviceがESXiサーバー内の仮想ホストをインラインで検査する方法を提供します。仮想NDR Deviceには、少なくとも3つの仮想インターフェースが含まれます:

管理トラフィック
ネットワーク監視トラフィック
- 2つのインターフェースで「ブリッジ」を構成します：1つはイングレストラフィック用、もう1つはエグレストラフィック用です。インライン監視に使用する各ポートグループは、プロミスキャスモードを有効にする必要があります。
  - 下記の例では、イングレスインターフェースはVirtual Switch 2 / Port Group Internalにバインドされています。
  - 下記の例では、エグレスインターフェースはVirtual Switch 1 / Port Group Externalにバインドされています。
- 仮想スイッチの数に応じて、仮想NDR Device上に追加の仮想ネットワーク監視インターフェースが必要になる場合があります。

仮想NDR Deviceのダウンロード🔗

以下の手順で、Secureworks® Taegis™ XDRから仮想NDR Deviceイメージをダウンロードします。

XDRにログインし、Taegis MenuからTaegis™ NDRを選択します。
展開したい仮想NDR Deviceを選択します。NDR Deviceの詳細が表示されます。
登録タブからアクションメニューを選択し、ダウンロードを選択します。ダウンロードモーダルが表示されます。

NDR Device登録アクション
デバイス登録時に使用する登録コードを控え、提示された情報を確認・同意したことを示すチェックボックスを選択し、ダウンロードを選択します。

NDR Deviceダウンロード
ダウンロードが完了したら、次のセクションに進みます。

仮想NDR Deviceイメージの展開🔗

以下の展開例は、ESXiサーバーを使用します。仮想NDR Deviceは、スニファーモードで1つのパッシブ監視インターフェースを持つ形で展開されます。

ナビゲーターから仮想マシンを選択し、VMの作成/登録を選択します。

VMの作成
OVFまたはOVAファイルから仮想マシンを展開を選択し、次へを選択します。

OVFまたはOVAファイルからVMを展開
仮想マシンの名前を入力し、仮想NDR DeviceのOVFおよびVMDKファイルを追加し、次へを選択します。

ファイルの選択
仮想NDR Deviceの適切なストレージ場所を選択し、次へを選択します。

ストレージの選択
仮想NDR Deviceのネットワークマッピングを定義します:
- 適切な管理ネットワークを選択します。下記の例では、_VM Network_が管理ネットワークです。
- 適切なネットワーク監視ネットワークを選択します。下記の例では、_Network_Monitor_がネットワーク監視用に予約されています。
- ThinまたはThickプロビジョニングを選択します。SecureworksはThinプロビジョニングを推奨します。
展開オプションの選択
展開オプションが完了したら次へを選択します。サマリーが表示されます。
サマリーを確認し、すべて正しいことを確認したら完了を選択します。
ESXiは仮想マシン作成プロセスを開始し、OVFおよびVMDKファイルのアップロードを含み、完了までに時間がかかる場合があります。

登録準備🔗

NDR Deviceのインストールを開始する前に、インストールプロセス中に求められる以下の重要な情報を準備してください:

デバイスホスト名
NDR Device登録キー — 仮想NDR Deviceのダウンロード手順で取得します。
使用したいNDR Deviceモード — この時点で、最適なソリューションを見定めるためにSecureworks担当者と協議済みである必要があります。インストールプロセス中に3つのモードのいずれかを選択する必要があります。詳細はトラフィック処理モードをご参照ください。
NDR Deviceに割り当てるIPアドレス — NDR Deviceに静的IPを使用する場合は、IPアドレス、ネットワークマスク、ゲートウェイアドレスをインストールプロセス中に入力できるよう準備してください。これらの値は、NDR Deviceで使用するためにネットワークチームによってプロビジョニングされている必要があります。

構成と登録🔗

以下の手順で、NDR Deviceのインストールを開始します:

Taegis™ NDR仮想マシンの電源を入れます。
仮想NDR Deviceのコンソールに移動します。NDR Device構成ウィザードが表示されます。
初期画面で、NDR Deviceは管理ポートが接続されているか自動検出を試みます。_No interface detected_と表示された場合は、管理インターフェースケーブルが接続されているか、しっかり差し込まれているか確認してください。完了したらYesを選択してインターフェース検出を再試行します。

インターフェース未検出
次のプロンプトでConfigure Staticを選択し、IP、ネットマスク、ゲートウェイ情報を入力します。

静的IPの設定
NDR Deviceは、入力情報が有効かどうかゲートウェイへのpingを試みます。ping失敗が予想される場合は、Ignoreを選択して登録プロセスを続行します。

Ping失敗の無視
Useオプションを選択してネットワーク構成を確認します。

構成の確認
ネットワーク構成を確認後、デバイスに希望するNDR Deviceのモードを選択し、OKを選択して続行します。

NDR Deviceモードの選択
仮想NDR Deviceのダウンロード手順で取得した登録キーを入力します。

登録キーの入力
NDR Deviceは登録キーを用いてSecureworksに接続し、ソフトウェアのダウンロードや自身の構成など、比較的長い一連の処理を完了します。

ダウンロードと構成
これで仮想NDR Deviceの登録と構成が正常に完了しました。接続性の検証については、Secureworks担当者にご連絡ください。

ネットワーク再構成🔗

必要に応じて、NDRデバイスCLIを使用してネットワーク設定を変更します。以下の手順に従ってください。

物理NDRデバイスのコンソールから、モニターとキーボードをシステムに接続します。仮想デバイスの場合は、仮想NDRデバイスコンソールに移動します。出力が表示されていない場合は、Enter を押してコンソールを起動してください。

NDR Device CLI
set コマンドを以下のオプションとともに使用して、ネットワーク設定を変更します。
- set dhcp [enable|disable]
- set gateway <ip>
- set ip <ipv4> <netmask> <gateway>
- set netmode [passive|ips|monitor]
重要

このコマンドは、NDRデバイスのネットワーク設定を変更する際にSecureworksサポートと連携して作業する場合のみ使用してください。ローカルで行った変更はNDRデバイスの監視および管理に直接影響し、Secureworksサポートの指示なしに実施した場合、サービス停止につながる可能性があります。

Hyper-V展開ガイダンス🔗

仮想NDR Deviceは、VMwareだけでなくMicrosoft Hyper-Vにも展開できます。Hyper-V展開の場合、デバイスが必要とする管理およびトラフィック検査ネットワーク接続を提供するため、3つの外部仮想スイッチを構成してください。以下の手順では、Hyper-Vマネージャーで3つの外部仮想スイッチを設定する方法を案内します。

Hyper-V仮想スイッチの構成🔗

Hyper-Vで必要な外部仮想スイッチを作成するには、以下の手順に従ってください:

ホストシステムでHyper-Vマネージャーを開きます。
操作ペインで仮想スイッチマネージャーを選択します。

仮想スイッチマネージャー

各ネットワークインターフェースごとに、以下の手順で新しい外部仮想スイッチを作成します:

仮想スイッチ	説明
管理	デバイスの管理および登録を担当します。
キャプチャ1	最初のネットワーク監視（キャプチャ）インターフェースとして機能します。
キャプチャ2	2番目のネットワーク監視（キャプチャ）インターフェースとして機能します（インライン展開の場合、通常はエグレスインターフェース）。

新しい仮想ネットワークスイッチ > 外部 > 仮想スイッチの作成を選択します。
わかりやすい名前（例:「NDR Management」「NDR Capture 1」「NDR Capture 2」など）を入力します。
スイッチに適切な物理ネットワークアダプターを選択します。
管理スイッチのみ管理用オペレーティングシステムがこのネットワークアダプターを共有できるようにするにチェックを入れます。
OKを押してスイッチを作成します。

NDR Device仮想マシンを作成する際、3つのネットワークアダプターを対応する仮想スイッチに割り当てます:
- アダプター1: 管理
- アダプター2: キャプチャ1
- アダプター3: キャプチャ2
仮想スイッチマネージャー

この構成により、NDR Deviceは管理目的の通信と、展開シナリオに応じたネットワークトラフィックの監視またはブリッジが可能となります。

注意

Hyper-Vではインライン展開はできません。Hyper-Vのキャプチャ1およびキャプチャ2は、2つのスニファー入力ソースとして機能します。

ヒント

仮想スイッチの作成や管理の詳細については、Microsoft Hyper-Vドキュメントをご参照ください: Create a Virtual Switch for Hyper-V Virtual Machines。

展開用PowerShellスクリプトの利用🔗

提供されたPowerShellスクリプトを使用して、Hyper-V上にNDR Deviceを展開します。以下の手順に従ってください:

Taegis UIからダウンロードした展開パッケージを解凍します（例: taegis-ndr-prod-9.2.2.1.zip）。

仮想スイッチマネージャー
Hyper-Vホストで管理者権限のPowerShellを開きます。
展開ファイルを解凍したディレクトリに移動します:
```
cd .\taegis-ndr-prod-9.2.2.1
```
セットアップスクリプトを実行します:
```
.\isensor-hyperv-setup.ps1
```
スクリプトのプロンプトに従い、上記で定義したスイッチ名とネットワーク割り当てを入力します:
- 3つの外部仮想スイッチを割り当てます:
  - 管理: デバイスの管理および登録用
  - キャプチャ1: 最初のネットワーク監視（キャプチャ）インターフェース用
  - キャプチャ2: 2番目のネットワーク監視（キャプチャ）インターフェース用（インライン展開の場合は通常エグレスインターフェース）
スイッチ作成時に使用したのと同じスイッチ名（例: NDR Management, NDR Capture 1, NDR Capture 2）を入力してください。
スクリプト完了後、Hyper-V上でNDR Deviceを起動・プロビジョニングできます。上記の構成と登録をご参照ください。

登録エラーコード🔗

構成/登録中に以下のエラーコードが表示される場合があります。詳細は説明欄をご確認ください。

エラーコード	説明
20	ネットワーク構成設定プロセスをユーザーがキャンセルしました
21	NDR Deviceモード選択プロセスをユーザーがキャンセルしました
22	登録キー設定プロセスをユーザーがキャンセルしました
23	取得したポリシーが有効なXMLファイルではありません
24	ポリシーに空のVPNパスワードフィールドがあります
25	VPN接続に失敗 - ユーザーが再試行しないことを選択しました
26	RCMS証明書の取得に失敗しました
27	証明書tarファイルに/var/mqm/ssl/Key.sthファイルがありません
28	ポリシー（Certinit.config）にCIPサーバー情報がありません
29	UINの取得に失敗 - サーバーが無効な応答を返しました
30	UINの取得に失敗 - サーバーから応答がありません
31	Imagetools構成にNDR Deviceバージョンがありません
32	イメージのMD5SumがサーバーのMD5Sumと一致しませんでした
33	イメージインストールに失敗しました（instimage.barebone）

VMware — 仮想ネットワークガイダンス🔗

Secureworksは、お客様の仮想環境の作成や変更には対応いたしません。仮想ネットワークの追加・削除・変更方法については、VMwareのドキュメント（お客様の環境のESXiまたはvSphereバージョンに合ったもの）をご参照ください。

例として、公開されているAbout vSphere Networkingドキュメントは、バージョン7.0以降向けの仮想ネットワーク概要と構成ガイダンスを提供しています。以下はこのドキュメントの関連セクションです:

Create a vSphere Standard Switchを参照し、vSphere Standard Switchの作成方法をご確認ください。
Port Group Configuration for Virtual Machinesを参照し、ポートグループの作成方法をご確認ください。
Configure the Security Policy for a vSphere Standard Switch or Standard Port Groupを参照し、ポートグループ内でプロミスキャスモードを有効にする方法をご確認ください。

仮想マシンに関するFAQ🔗

サポートされているESXiのバージョンは？

ESXi v6.5はEOLです。v7.0以降が推奨され、公式サポート対象バージョンです。

必要なコア数は？

ハードウェアは最低8コア、8GBメモリが必要です。

ハードウェアの制限は？

基盤となるCPUはx86 CPUであり、AVX命令サポートが必要です。

サポートされている構成は？

メモリ	コア数	ソケットあたりのコア数
8Gb	8	8
16Gb	8	8

VMware仮想マシン版Taegis™ NDR v9のコアとソケットの設定は？

システム仕様をご参照ください。ESXi GUIの設定例は以下の通りです:

仮想NDR Deviceのソケット数は？

VMware用のNDR Deviceは、CPUソケット1つのみで構成できます。NDR Deviceのソケット数を確認するには、以下の手順を実施してください:

vSphereでデバイス設定を編集します。
仮想ハードウェアのCPUを開きます。
ソケットあたりのコア数をCPU数と同じに設定します。
ソケット数は1と表示されます。

Taegis™ NDR v9はソケット1つのみサポートします。