仮想Taegis™ NDRインテグレーションガイド🔗
注意
Taegis NDRはiSensorの進化版であり、新しい名称とまもなく拡張される機能を備えています。この移行期間中、一部でiSensorのブランド名が参照されている場合があります。
Taegis™ NDRの詳細については、Taegis™ NDR概要をご覧ください。
Taegis™ NDRは、Secureworksが提供するマネージドネットワークIDS/IPSソリューションです。NDR Deviceはお客様のネットワークに設置され、すべてのネットワークトラフィックを監視し、最新の脅威インテリジェンスを活用してネットワークレベルの脅威を検知し、不正なトラフィックが検知された場合はSecureworks® Taegis™ XDRに検知情報を送信します。NDRは、Secureworks® Taegis™ MDRおよびSecureworks® Taegis™ Elite Threat Huntingに含まれる場合がある、別途契約が必要な機能です。
対応機能:
- インラインおよびパッシブのディープパケットインスペクション
- Counter Threat Unit™ 脅威インテリジェンスの統合
- ネットワーク上の不正なトラフィックのブロック機能
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Taegis NDR | Netflow、NIDS | NIDS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
要件🔗
導入前に以下の要件を確認してください。
展開モード🔗
仮想NDR Deviceを展開する前に、お客様の仮想環境について十分に理解しておく必要があります。お客様は、NDR Deviceがネットワークトラフィックを検査できるように仮想ネットワークを構成する責任があります。例となる構成は仮想NDR Device展開シナリオセクションをご参照ください。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Taegis™ NDRデバイス(管理IP) | 206.55.100.0/22 216.9.204.0/22 |
TCP/443(プロキシ未使用)* |
* (プロキシ未使用) — TCP/443の通信は、すべてのWebコンテンツフィルタリングデバイスから除外する必要があります。TCP/443の通信は、多くのWebコンテンツフィルタリングデバイスによって不正なHTTPSトラフィックとして検査・破棄されます。
最大転送単位(MTU)🔗
仮想NDR Deviceを通過するパケットは、MTUが1518以下である必要があります。これを超える場合、パケットロスが発生し、ネットワーク接続に悪影響を及ぼします。
システム仕様🔗
Secureworksは、仮想NDR Device用の単一のベースイメージを提供しています。以下はイメージのデフォルトシステム仕様です。
| 項目 | NDR Device VM仕様 |
|---|---|
| CPU | 8コア |
| メモリ | 8 GB |
| ストレージ | 60 GB |
| インスペクションスループット | 1000 Mbps |
| ソケットあたりのコア数 | 8 |
| 必要な機能 | AVX + AVX2, 1G Hugepages, CPUの仮想化拡張機能有効化 |
注意
システム仕様は、検査するネットワークトラフィック量やセンサーのパフォーマンスに応じてデフォルト設定から調整が必要な場合がありますが、これらの最小値を下回ってはいけません。
NDR Device展開時の考慮事項🔗
NDR Deviceの登録時に、お客様の組織に最適な実装方法を決定する必要があります。意思決定を支援するため、以下のオプションを確認し、登録プロセス前に必要な内容を決定してください。
トラフィック処理モード🔗
-
インラインアクティブモード(IPS)では、NDRデバイスの推奨インストール構成となり、すべてのトラフィックがNDRデバイスを通過し、シグネチャセットによって不正と判断されたネットワークトラフィックはブロックされます。
-
インラインパッシブモード(IDS)では、すべてのトラフィックがNDRデバイスを通過し、アラートのために検査されます。このデバイスは不正なトラフィックに対してアラートのみを発し、ブロックは行いません。インラインスニッフィングとも呼ばれます。
-
スニッファモード(IDS)(非インラインモニター)では、監視対象のネットワークセグメントがNDRデバイスにスパンされて検査されますが、トラフィックは一切ブロックされません。
重要
仮想NDR Deviceは、インライン展開時にフェイルオープンをサポートするため、基盤となる物理ネットワークインターフェースカードに依存します。フェイルオープンカードがある場合のみ、インラインモードの使用を強く推奨します。
HOME_NET🔗
HOME_NET は、お客様が重要と考え、NDRデバイスで保護したいネットワークまたはネットワークのリストです。NDRデバイスは、定義されたHOME_NETをもとに、検査対象となるトラフィックを決定します。これらのネットワークは、NDRデバイス上の $HOME_NET という変数として保存されます。正しいHOME_NETを選択することは、お客様のネットワークを適切にカバーするために非常に重要です。
EXTERNAL_NET🔗
EXTERNAL_NET は、HOME_NETを保護したい対象となるネットワークです。NDRデバイスでEXTERNAL_NETを設定する際には、一般的に次の2つのオプションがあります。
!$HOME_NET(つまり、HOME_NETで定義されたネットワーク以外。これは従来の構成です)- Any
NDRデバイスでHOME_NETからHOME_NETへのトラフィックが多く見られる場合、EXTERNAL_NETは !$HOME_NET に設定することで誤検知を減らすことができます。
EXTERNAL_NETを !$HOME_NET に設定しても、ラテラルムーブメント(横方向の移動)の可視性が制限されることはありません。弊社のCounter Threat Unit™(CTU)チームは、すべてのシグネチャを通信の方向性を考慮して作成しています。ラテラルムーブメントに利用される脆弱性向けのシグネチャは、「any」から「HOME_NET」へのトラフィックを検知するように設計されています。
プロキシサーバー🔗
NDRデバイスの展開時には、プロキシサーバーの存在を考慮する必要があります。監視対象の環境にプロキシサーバーが存在する場合、それが透過型かアクティブ型(クライアントがブラウザ設定で強制的にプロキシを経由する)か、アクティブ型の場合はクライアントブラウザがプロキシに接続するポート番号、そしてプロキシサーバーのIPアドレスをSecureworksにご連絡ください。
HTTP_PORTS🔗
プロキシサーバーを定義した後、アクティブなプロキシが存在する場合は、クライアントがアクティブプロキシ経由で利用するポート番号を記録する必要があります。このポート番号は $HTTP_PORTS 変数で使用されます。HTTP_PORTS変数は、NDRデバイスに対してHTTPトラフィックがこのポートで発生することを示し、すべてのHTTPシグネチャをそのトラフィックに適用するために使用されます。お客様の環境にプロキシサーバーが存在しない場合でも、HTTPトラフィックが下記のデフォルトポート以外のポートを通過している場合は、そのポート番号を記録し、HTTP_PORTS変数に追加して適切なHTTPトラフィック検査が行えるようにしてください。
デフォルトの $HTTP_PORTS 変数は以下の通りです:
[80,81,88,311,383,591,593,901,1220,1414,1741,1830,2301,2381,2809,3037,3128,3702,4343,4848,5250,6988,7000,7001,7144,7145,7510,7777,7779,8000,8008,8014,8028,8080,8085,8088,8090,8118,8123,8180,8181,8243,8280,8300,8800,8888,8899,9000,9060,9080, 9090,9091,9443,9999,11371,34443,34444,41080,50002,55555]
シグネチャセット🔗
バランス🔗
バランスポリシーは、セキュリティカバレッジを強化しつつ、正当なトラフィックへの影響を最小限に抑えることを目指しています。バランスポリシーによって遮断されるトラフィックには、現在の脅威状況におけるマルウェアや、広く利用されているソフトウェアおよびあまり使われていないソフトウェアの重大度の高い脆弱性を悪用することを目的としたトラフィックなどが含まれますが、これらに限定されません。検知はされるものの遮断されないトラフィックには、インターネット上の偵察行為やノイズに関連するトラフィック、信頼度の低いシグネチャによってトリガーされるトラフィック、トレント利用などの疑わしいアクティビティに関連するトラフィックなどが含まれますが、これらに限定されません。
セキュリティ🔗
セキュリティポリシーは、実現可能な範囲で最も高いセキュリティカバレッジを提供しつつ、正当な企業トラフィックへの影響を抑えることを目指しています。セキュリティポリシーは接続性よりもセキュリティを重視するため、カバレッジを強化するために誤検知率の上昇を許容します。セキュリティポリシーによって遮断されるトラフィックには、現在の脅威状況で確認されているマルウェア、広く利用されているソフトウェアおよびあまり使われていないソフトウェアの高・中重大度の脆弱性を悪用するトラフィック、インターネット上の偵察行為やノイズに関連するトラフィック、SQLインジェクションやクロスサイトスクリプティング攻撃などの一般的な攻撃を防ぐための汎用シグネチャ、トレント利用などの疑わしいアクティビティに関連するトラフィックなどが含まれますが、これらに限定されません。
コネクティビティ🔗
コネクティビティポリシーは、企業環境において最もリスクの高い重大な脅威から保護します。正当なトラフィックへの影響は最小限に抑えられます。コネクティビティポリシーによって遮断されるトラフィックには、現在の脅威状況におけるマルウェアや、広く利用されているソフトウェアまたは実際に悪用されている既知の脆弱性に対する重大な脅威の攻撃試行などが含まれますが、これらに限定されません。検知はされるものの遮断されないトラフィックには、あまり使われていないアプリケーションにおける中程度の脅威イベントに対して保護するシグネチャによって特定された脅威などが含まれますが、これらに限定されません。ノイズを多く発生させるシグネチャはデフォルトで無効化されています。
仮想NDR Device展開シナリオ🔗
スニファー — 内部ネットワークトラフィック🔗
この展開例は、物理IDSスニファー展開を模倣したものです。
仮想NDR Deviceには、少なくとも2つの仮想インターフェースが含まれます:
- 管理トラフィック
- ネットワーク監視トラフィック
- コアスイッチにミラーポートを設定し、それを物理VMwareインターフェースに直接接続します。ミラーポート用の仮想スイッチを作成し、プロミスキャスモードを有効にします。仮想NDR Deviceは、ミラーポートトラフィックを含む仮想スイッチを使用するネットワーク監視インターフェースを構成します。
注意
この展開例には、物理VMwareシャーシ上の未使用インターフェースが必要です。
スニファー — 仮想トラフィックのみ🔗
この展開例は、仮想NDR DeviceがESXiサーバー内の仮想ホストをパッシブに検査する方法を提供します。
仮想iSensorには、少なくとも2つの仮想インターフェースが含まれます:
- 管理トラフィック
- ネットワーク監視トラフィック
- 監視対象の仮想マシンがネットワーク通信に使用する仮想スイッチの一部であるポートグループ(プロミスキャスモード有効)に接続します。
- 仮想スイッチの数に応じて、仮想NDR Device上に追加の仮想ネットワーク監視インターフェースが必要になる場合があります。
インライン — 仮想トラフィックのみ、仮想化インターフェース🔗
重要
この仮想NDR Device展開はフェイルオープンしません。NDR Deviceが再起動またはオフラインの場合、ネットワークトラフィックが中断されます。
この展開例は、仮想NDR DeviceがESXiサーバー内の仮想ホストをインラインで検査する方法を提供します。仮想NDR Deviceには、少なくとも3つの仮想インターフェースが含まれます:
- 管理トラフィック
- ネットワーク監視トラフィック
- 2つのインターフェースで「ブリッジ」を構成します:1つはイングレストラフィック用、もう1つはイーグレストラフィック用です。インライン監視に使用する各ポートグループは、プロミスキャスモードを有効にする必要があります。
- 下記の例では、イングレスインターフェースはVirtual Switch 2 / Port Group Internalにバインドされています。
- 下記の例では、イーグレスインターフェースはVirtual Switch 1 / Port Group Externalにバインドされています。
- 仮想スイッチの数に応じて、仮想NDR Device上に追加の仮想ネットワーク監視インターフェースが必要になる場合があります。
- 2つのインターフェースで「ブリッジ」を構成します:1つはイングレストラフィック用、もう1つはイーグレストラフィック用です。インライン監視に使用する各ポートグループは、プロミスキャスモードを有効にする必要があります。
仮想NDR Deviceのダウンロード🔗
以下の手順に従い、Secureworks® Taegis™ XDRから仮想NDR Deviceイメージをダウンロードしてください。
-
XDRにログインし、Taegis MenuからTaegis™ NDRを選択します。
-
展開したい仮想NDR Deviceを選択します。NDR Deviceの詳細が表示されます。
-
登録タブからアクションメニューを選択し、ダウンロードを選択します。ダウンロードモーダルが表示されます。
NDR Device登録アクション -
デバイス登録時に使用する登録コードを控え、提示された情報を確認し同意するチェックボックスを選択した後、ダウンロードを選択します。
NDR Deviceダウンロード -
ダウンロードが完了したら、次のセクションに進みます。
仮想NDR Deviceイメージの展開🔗
以下の展開例はESXiサーバーを使用しています。仮想NDR Deviceはスニファーモードでパッシブ監視インターフェース1つを用いて展開されます。
-
ナビゲーターから仮想マシンを選択し、作成 / 登録VMを選択します。
VMの作成 -
OVFまたはOVAファイルから仮想マシンを展開を選択し、次へを選択します。
OVFまたはOVAファイルからVMを展開 -
仮想マシンの名前を入力し、仮想NDR DeviceのOVFおよびVMDKファイルを追加して、次へを選択します。
ファイルの選択 -
仮想NDR Deviceの適切なストレージ場所を選択し、次へを選択します。
ストレージの選択 -
仮想NDR Deviceのネットワークマッピングを定義します:
- 適切な管理ネットワークを選択します。下記の例では、_VM Network_が管理ネットワークです。
- 適切なネットワーク監視ネットワークを選択します。下記の例では、_Network_Monitor_がネットワーク監視用に予約されています。
- ThinまたはThickプロビジョニングを選択します。SecureworksはThinプロビジョニングを推奨します。
展開オプションの選択 -
展開オプションが完了したら次へを選択します。サマリーが表示されます。
-
サマリーを確認し、すべて正しいことを確認したら完了を選択します。
-
ESXiは仮想マシン作成プロセスを開始し、OVFおよびVMDKファイルのアップロードを含み、完了までに時間がかかる場合があります。
登録準備🔗
NDR Deviceのインストールを開始する前に、インストールプロセス中に求められる以下の重要な情報を準備してください:
- デバイスホスト名
- NDR Device登録キー — 仮想NDR Deviceのダウンロード手順で取得します。
- 使用したいNDR Deviceモード — この時点で、最適なソリューションをSecureworks担当者と協議済みである必要があります。インストールプロセス中に3つのモードのいずれかを選択する必要があります。詳細はトラフィック処理モードをご参照ください。
- NDR Deviceに割り当てるIPアドレス — NDR Deviceに静的IPを使用する場合は、IPアドレス、ネットワークマスク、ゲートウェイアドレスをインストール時に入力できるよう準備してください。これらの値は、ネットワークチームによってNDR Device用にプロビジョニングされている必要があります。
構成と登録🔗
以下の手順に従い、NDR Deviceのインストールを開始してください:
- Taegis™ NDR仮想マシンの電源を入れます。
- 仮想NDR Deviceのコンソールに移動します。NDR Device構成ウィザードが表示されます。
-
初期画面で、NDR Deviceは管理ポートが接続されているか自動検出を試みます。_No interface detected_が表示された場合は、管理インターフェースケーブルが接続されているか、しっかり差し込まれているか確認してください。完了したらYesを選択してインターフェース検出を再試行します。
インターフェース未検出 -
次のプロンプトでConfigure Staticを選択し、IP、ネットマスク、ゲートウェイ情報を入力します。
静的IPの設定 -
NDR Deviceはゲートウェイへのpingを試み、情報が有効か検証します。ping失敗が予想される場合はIgnoreを選択し、登録プロセスを続行します。
Ping失敗の無視 -
Useオプションを選択してネットワーク構成を確認します。
構成の確認 -
ネットワーク構成を確認後、デバイスに希望するNDR Deviceモードを選択し、OKを選択して続行します。
NDR Deviceモードの選択 -
仮想NDR Deviceのダウンロード手順で取得した登録キーを入力します。
登録キーの入力 -
NDR Deviceは登録キーを用いてSecureworksに接続し、ソフトウェアのダウンロードと自己構成のための一連の処理を実行します(やや時間がかかります)。
ダウンロードと構成 -
これで仮想NDR Deviceの登録と構成が正常に完了しました。接続性の検証についてはSecureworks担当者にご連絡ください。
ネットワーク再構成🔗
必要に応じて、NDRデバイスCLIを使用してネットワーク構成を変更します。以下の手順に従ってください。
-
物理NDRデバイスのコンソールから、システムにモニターとキーボードを接続します。仮想デバイスの場合は、仮想NDRデバイスコンソールに移動します。出力が表示されていない場合は、Enter を押してコンソールを起動してください。
NDRデバイスCLI -
setコマンドを以下のオプションとともに使用して、ネットワーク構成を変更します。-
set dhcp [enable|disable] -
set gateway <ip> -
set ip <ip netmask> -
set netmode [ips|monitor|passive]
重要
このコマンドは、NDRデバイスのネットワーク構成を変更する際に、Secureworksサポートと連携して作業する場合のみ使用してください。ローカルで行った変更はNDRデバイスの監視および管理に直接影響し、Secureworksサポートの指示なしに実施した場合、サービス停止につながる可能性があります。
-
Hyper-V展開ガイダンス🔗
仮想NDR Deviceは、VMwareだけでなくMicrosoft Hyper-Vにも展開できます。Hyper-V展開の場合、デバイスが必要とする管理およびトラフィック検査ネットワーク接続を提供するため、3つの外部仮想スイッチを構成してください。以下の手順は、Hyper-Vマネージャーで3つの外部仮想スイッチを設定する方法を案内します。
Hyper-V仮想スイッチの構成🔗
Hyper-Vで必要な外部仮想スイッチを作成するには、以下の手順に従ってください:
-
ホストシステムでHyper-Vマネージャーを開きます。
-
操作ペインで仮想スイッチマネージャーを選択します。
仮想スイッチマネージャー -
各ネットワークインターフェースごとに、以下の手順で新しい外部仮想スイッチを作成します:
仮想スイッチ 説明 管理 デバイスの管理および登録を担当します。 キャプチャ1 最初のネットワーク監視(キャプチャ)インターフェースとして機能します。 キャプチャ2 2番目のネットワーク監視(キャプチャ)インターフェースとして機能します(インライン展開の場合、通常はイーグレスインターフェース)。 - 新しい仮想ネットワークスイッチ > 外部 > 仮想スイッチの作成を選択します。
- わかりやすい名前(例:「NDR Management」「NDR Capture 1」「NDR Capture 2」)を入力します。
- スイッチに適切な物理ネットワークアダプターを選択します。
- 管理スイッチのみ管理用オペレーティングシステムがこのネットワークアダプターを共有できるようにするにチェックを入れます。
- OKを押してスイッチを作成します。
-
NDR Device仮想マシンを作成する際、3つのネットワークアダプターを対応する仮想スイッチに割り当てます:
- アダプター1: 管理
- アダプター2: キャプチャ1
- アダプター3: キャプチャ2
仮想スイッチマネージャー この構成により、NDR Deviceは管理通信と、展開シナリオに応じたネットワークトラフィックの監視またはブリッジが可能となります。
注意
Hyper-Vはインライン展開をサポートしていません。Hyper-Vのキャプチャ1およびキャプチャ2は、2つのスニファー入力ソースとして機能します。
ヒント
仮想スイッチの作成と管理の詳細については、Microsoft Hyper-VドキュメントHyper-V仮想マシン用の仮想スイッチの作成を参照してください。
デプロイ用PowerShellスクリプトの使用🔗
提供されたPowerShellスクリプトを使用して、Hyper-V上にNDR Deviceを展開します。以下の手順に従ってください:
-
Taegis UIからダウンロードしたデプロイメントパッケージを解凍します(例:
taegis-ndr-prod-9.2.2.1.zip)。
仮想スイッチマネージャー -
Hyper-Vホストで管理者としてPowerShellを開きます。
-
展開ファイルを解凍したディレクトリに移動します:
-
セットアップスクリプトを実行します:
-
スクリプトのプロンプトに従い、上記で定義したスイッチ名とネットワーク割り当てを入力します:
- 3つの外部仮想スイッチを割り当てます:
- 管理: デバイス管理および登録用
- キャプチャ1: 最初のネットワーク監視(キャプチャ)インターフェース用
- キャプチャ2: 2番目のネットワーク監視(キャプチャ)インターフェース用(インライン展開の場合は通常イーグレスインターフェース)
スイッチ作成時に使用したのと同じスイッチ名(例:
NDR Management,NDR Capture 1,NDR Capture 2)を入力してください。 - 3つの外部仮想スイッチを割り当てます:
-
スクリプトが完了したら、Hyper-V上でNDR Deviceを起動・プロビジョニングできます。上記の構成と登録を参照してください。
登録エラーコード🔗
構成/登録中に以下のエラーコードが表示される場合があります。詳細は説明欄をご確認ください。
| エラーコード | 説明 |
|---|---|
| 20 | ネットワーク構成設定プロセスをユーザーがキャンセルしました |
| 21 | NDR Deviceモード選択プロセスをユーザーがキャンセルしました |
| 22 | 登録キー設定プロセスをユーザーがキャンセルしました |
| 23 | 取得したポリシーが有効なXMLファイルではありません |
| 24 | ポリシーに空のVPNパスワードフィールドが含まれています |
| 25 | VPN接続に失敗 - ユーザーが再試行しないことを選択しました |
| 26 | RCMS証明書の取得に失敗しました |
| 27 | 証明書tarファイルに/var/mqm/ssl/Key.sthファイルがありません |
| 28 | ポリシー(Certinit.config)にCIPサーバー情報がありません |
| 29 | UINの取得に失敗 - サーバーが無効な応答を返しました |
| 30 | UINの取得に失敗 - サーバーから応答がありません |
| 31 | Imagetools構成にNDR Deviceバージョンがありません |
| 32 | イメージのMD5SumがサーバーのMD5Sumと一致しません |
| 33 | イメージインストールに失敗しました(instimage.barebone) |
VMware — 仮想ネットワークガイダンス🔗
Secureworksは、お客様の仮想環境の作成や変更を支援しません。仮想ネットワークの追加、削除、変更方法については、VMwareのドキュメントを参照してください。ベンダードキュメントが、お客様の環境のESXiまたはvSphereのバージョンに合致していることを確認してください。
例として、公開されているAbout vSphere Networkingドキュメントは、バージョン7.0以降向けの仮想ネットワーク概要と構成ガイダンスを提供しています。以下はこのドキュメントの関連セクションです:
- vSphere Standard Switchの作成を参照し、vSphere Standard Switchの作成方法をご確認ください。
- 仮想マシン用ポートグループの構成を参照し、ポートグループの作成方法をご確認ください。
- vSphere Standard SwitchまたはStandard Port Groupのセキュリティポリシーの構成を参照し、ポートグループ内でプロミスキャスモードを有効にする方法をご確認ください。
仮想マシンFAQ🔗
サポートされているESXiのバージョンは?
ESXi v6.5はEOLです。v7.0以降が推奨および公式サポートバージョンです。
必要なコア数は?
ハードウェアは最低8コア、8GBメモリが必要です。
ハードウェアの制限は?
基盤となるCPUはx86 CPUで、AVX命令サポートが必要です。
サポートされている構成は?
| メモリ | コア数 | ソケットあたりのコア数 |
| :--- | :--- | :--- | | 8Gb | 8 | 8 | | 16Gb | 8 | 8 |
VMware仮想マシン版Taegis™ NDR v9のコアとソケットの設定は?
ESXi GUIの設定例は以下の通りです:
仮想NDR Deviceのソケット数は?
VMware用のNDR Deviceは、CPUソケット1つのみで構成可能です。NDR Deviceのソケット数を確認するには、vSphereでデバイス設定を編集し、仮想ハードウェアのCPUを開きます。ソケットあたりのコア数をCPU数と同じに設定すると、ソケット数は1と表示されます。
Taegis™ NDR v9はソケット1つのみをサポートします。