VMware vCenter🔗
以下は、VMware vCenterを設定してSecureworks® Taegis™ XDRへのログ取り込みを実現するための手順です。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| VMware vCenter | Taegis™ XDR Collector (mgmt IP) | TCP/601 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| vCenter | 管理 | Auth |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
VMware vCenterプラットフォームの設定🔗
- VMwareドキュメント の手順に従い、vCenter Server Appliance Management Interfaceにログインします。
-
VMwareドキュメント の手順に従い、以下の値を使用してSyslog経由でログ転送を設定します。
フィールド 必要な値 Server Address XDR Collector (mgmt IP) Protocol TCP Port 601
クエリ言語検索例🔗
過去24時間の auth イベントを検索する場合:
FROM auth WHERE sensor_type = 'VMWARE_VCENTER' and EARLIEST=-24h
managementevent イベントを検索する場合:
FROM managementevent WHERE sensor_type = 'VMWARE_VCENTER'
特定ユーザーに関連する auth イベントを検索する場合:
FROM auth WHERE sensor_type='VMWARE_VCENTER' AND source_user_name = 'foo'
サンプルログ🔗
重要
XDR は1行に複数のイベントをサポートしていません。各行は1つのイベントを参照し、改行文字で終了する必要があります。
認証:
Jan 24 00:33:06 1.2.3.4 1 2023-01-24T02:14:38.893453+00:00 somehost1111 vpxd 31038 - - Event [123445] [1-1] [2022-12-20T02:14:38.892052Z] [vim.event.UserLogoutSessionEvent] [info] [SOMEDOM.LOCAL\Administrator] [] [654321] [User SOMEDOM.LOCAL\Administrator@10.7.007.19 logged out (login time: Tuesday, 20 December, 2022 01:58:49, number of API invocations: 9, user agent: Mozilla/4.0 (compatible; MSIE 6.0; MS Web Services Client Protocol 4.0.30319.42000))]
コマンド実行:
Jan 24 00:33:06 1.2.3.4 1 2023-01-24T02:16:01.544091+00:00 computername CROND 16388 - - (root) CMD ( test -x /usr/sbin/vpxd_periodic && /usr/sbin/vpxd_periodic >/dev/null 2>&1)
イベント詳細🔗
イベント詳細