コンテンツにスキップ

Google Cloud Platform (GCP) データコレクター🔗

Secureworks® Taegis™ XDR には、Google Cloud Platform (GCP) でセットアップできるコレクターがあります。GCP用の Taegis™ XDR Collector は、GCP Deployment Manager テンプレートとして提供されます。各コレクターは、その構成によって一意に識別されます。利便性のため、構成データはカスタムデータを通じてGCPテンプレートに注入されます。このテンプレートは以下のリソースを作成します。

  • Compute Instance-Template — インスタンス起動時に使用されるコンピュートインスタンスのパラメータを定義します。これには、リージョンに適したイメージとユーザーデータが含まれます。
  • Network Interface — インスタンス用に適切なネットワークおよびサブネットパラメータでプロビジョニングされたネットワークインターフェースです。
  • Firewall Rules — XDR Collector としてインスタンスを実行するためにプロビジョニングされた一連のファイアウォールルールです。

XDR では、サンプルテンプレートのダウンロードオプションを提供しています。テンプレートはほとんどのGCP環境で動作する はず ですが、ご利用前に必ず内容を精査し、関連するすべてのネットワークおよびセキュリティポリシーに準拠していることを確認してください。上級ユーザーは、GCPテンプレートおよびユーザーデータをテンプレートから抽出し、自身のIaCや自動化ツールに組み込むことも可能です。

構成に関する注意事項🔗

  • 生成されたテンプレートは、コンピュートインスタンス用のネットワークインターフェースおよび、レポーティング、NTP、TCP-DNS、UDP-DNS、TCP-syslog、UDP-syslog用のコンピュートファイアウォールルールを作成します。

  • 生成されたテンプレートは、200Gのコンピュートエンジン永続ディスクを /dev/sdb としてコレクターにアタッチします。テンプレートをカスタマイズしたり独自の自動化を実装する場合は、デバイスが常に /dev/sdb として、最小サイズ200Gでアタッチされていることを確認してください。

  • GCP サービスエージェントID を見つけるには、GCPコンソールの IAM & Admin に移動し、Google APIs Service Agent というプリンシパルを探してください。フォーマットは <numeric ID>@cloudservices.gserviceaccount.com となります。

注意

XDRコレクターは、適切に構成されたクラウドおよびオンプレミスのコレクターに対して、最大200K EPS(毎秒イベント数)をサポートできます。

注意

サードパーティ製ツールやアプリケーションは、いかなるXDRコレクターにもインストールできません。

データコレクターの接続要件🔗

注意

XDRの特定の設定は、お客様のテナントがあるリージョン(US1, US2, US3, EU)によって異なる点があります。

独自のSSL証明書を使用するすべてのデバイス(クラウドベースおよびオンプレミスのデータコレクターを含む)は、競合を回避するために、以下の宛先IPアドレスまたはドメインを許可リストに追加する必要があります。AWSデータコレクターを使用している場合は、AWSの表を参照してください。

ほとんどのデータコレクターの場合🔗

ソース 宛先 ポート/プロトコル 備考
データコレクターのIPまたはホスト名
US1
collector.ctpx.secureworks.com
18.217.45.178/32
3.16.4.173/32
18.224.219.97/32
13.59.146.90/32
3.16.16.254/32
18.223.74.238/32
US2
collector.delta.taegis.secureworks.com
52.14.113.127/32
3.141.73.137/32
3.136.78.106/32
US3
collector.foxtrot.taegis.secureworks.com
44.229.101.49
35.166.77.47
34.214.135.78
EU
collector.echo.taegis.secureworks.com
18.158.143.139/32
35.159.14.37/32
52.59.37.234/32		 TCP/443 デバイスからXDRへのアクセスの許可リスト化
データコレクターのIPまたはホスト名 プロビジョニング時に提供されたNTPサーバーのIP/ホスト名 UDP/123 デバイスからNTPサーバーへのアクセスの許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
データコレクターのIPまたはホスト名 0.pool.ntp.org
1.pool.ntp.org
2.pool.ntp.org
3.pool.ntp.org		 UDP/123 デバイスからデフォルトNTPサーバーへのアクセスの許可リスト化。

このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
データコレクターのIPまたはホスト名 プロビジョニング時に提供されたDNSサーバーのIP UDP/53
TCP/53		 デバイスからDNSサーバーへのアクセスの許可リスト化

注意

ローカルNTPを使用する場合は、これらのネットワーク上でデータコレクターとの双方向のアクセスを許可リスト化する必要があります。

AWSデータコレクターの場合🔗

ソース 宛先 ポート/プロトコル 備考
AWSデータコレクターのIPまたはホスト名
US1
collector.ctpx.secureworks.com
18.217.45.178/32
3.16.4.173/32
18.224.219.97/32
13.59.146.90/32
3.16.16.254/32
18.223.74.238/32
US2
collector.delta.taegis.secureworks.com
52.14.113.127/32
3.141.73.137/32
3.136.78.106/32
US3
collector.foxtrot.taegis.secureworks.com
44.229.101.49
35.166.77.47
34.214.135.78
EU
collector.echo.taegis.secureworks.com
18.158.143.139/32
35.159.14.37/32
52.59.37.234/32		 TCP/443 ホスト名経由でTaegis XDRへのデバイスアクセスの許可リスト化
AWSデータコレクターのIPまたはホスト名 プロビジョニング時に提供されたNTPサーバーのIP/ホスト名 UDP/123 デバイスからNTPサーバーへのアクセスの許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
AWSデータコレクターのIPまたはホスト名 169.254.169.123 UDP/123 デバイスからデフォルトNTPサーバーへのアクセスの許可リスト化。

このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
AWSデータコレクターのIPまたはホスト名 プロビジョニング時に提供されたDNSサーバーのIP UDP/53
TCP/53		 デバイスからDNSサーバーへのアクセスの許可リスト化

プロキシサポート🔗

クラウドベースおよびオンプレミスのデータコレクターは、インターネットに直接接続できない場合、ホスト上のローカルプロキシ設定を自動的に検出しようとします。

クラウドベースおよびオンプレミスのデータコレクターは、ハードコーディングされたプロキシにも対応しています。ハードコーディングされたプロキシを含むデータコレクターを作成する必要がある場合は、以下の必要情報を添えてサポートリクエストを提出してください。

  • プロキシIP
  • プロキシポート

プロキシが設定されているが利用できない、または到達できない場合、データコレクターは直接接続にフォールバックします。

注意

クラウドベースおよびオンプレミスのデータコレクターは、現時点ではハードコーディングされた認証付きプロキシをサポートしていません。中間者(MITM)機能を持つプロキシは、上記のネットワーク接続を許可リスト化する必要があります。

XDR GCPコレクターのインストールと構成🔗

XDR で インテグレーション > データコレクター から XDR GCPコレクターの構成プロセスを開始します。プロンプトに従ってテンプレートを作成し、ダウンロードしてください。テンプレートはGoogleの GCPドキュメント に従い、gcloud CLIツールを使用して適用する必要があります。

  1. Taegis XDRメニューからインテグレーションを選択し、データコレクターを選びます。

  2. 右上のアクション > コレクターの追加を選択します。

    新しいコレクターの追加

  3. コレクタータイプとしてクラウドホスト型を選択し、次へを選択します。

  4. 必須の名前とホスト名のフィールド、および任意の説明、ホストプロキシ、NTPサーバーのフィールドを入力し、コレクターの作成を選択します。

    注意

    必要に応じて独自のNTPサーバーを指定したり、HTTPプロキシアドレスを追加したりすることができます。HTTPプロキシアドレスは、次の形式に従う必要があります: [http\[s]://\[user:pass@]hostname\[:port]|http://<hostname>[:port]]

    注意

    デフォルトおよびカスタムのNTP設定は、起動時のブートストラッププロセス中のみ使用されます。接続が確立されると、データコレクターはXDRバックエンド接続を介して時刻を同期します。接続が確立されると、NTPサーバーの値はAdmiral Consolentp.collectorとして反映されます。

    クラウドコレクターの作成

    ヒント

    Cisco Firepower Threat Defense (FTD)デバイスからすべてのセキュリティイベントログを取得するためにeStreamerアプリをコレクターに追加するには、eStreamerアプリを参照してください。詳細については、Cisco FTD Firewallガイドを参照してください。

  5. コレクターのインストールセクションには、次のオプションが表示されます。

    • Amazon Web Services (AWS) — このオプションはXDRコレクターをAWSにデプロイする場合に使用します。
    • Google Cloud Platform (GCP) — このオプションはXDRコレクターをGCPにデプロイする場合に使用します。
    • Microsoft Azure — このオプションはXDRコレクターをAzureにデプロイする場合に使用します。

  6. Google Cloud Platform (GCP) を選択します。

  7. インスタンスをデプロイする GCPプロジェクトID を入力します。
  8. サービスエージェントID を入力します。
  9. デプロイしたい GCPリージョン および GCPゾーン を選択します。
  10. インスタンスが属する ネットワーク名 を指定します。
  11. インターフェースが属する サブネット名 を指定します。
  12. ファイアウォールルール用の ネットワークCIDR またはネットワーク宛先を入力します。

  13. ダウンロード を選択してGCPテンプレートをダウンロードします。

    GCPコレクター

    注意

    テンプレートが関連するすべてのネットワークおよびセキュリティポリシーに準拠していることを必ず確認してください。上級ユーザーは、GCPテンプレートおよびユーザーデータをテンプレートから抽出し、自身のIaCや自動化ツールに組み込むことも可能です。

  14. GCPコンソールで、右上のアイコンからCloud Shellを開きます。

    Cloud Shellを開く

  15. メニューアイコンを選択し、アップロード を選択して、手順13で XDR からダウンロードしたテンプレートをアップロードします。

    テンプレートをアップロード

  16. デプロイメントマネージャーを使ってテンプレートを適用します。以下を実行してください。

    gcloud deployment-manager deployments create <deployment-name> --config <the file name you just uploaded>

    テンプレートを適用

  17. Cloud Shellコマンドが成功を報告した後、コレクターのステータスは10分以内にProvisioningから変更されるはずです。この時点でコレクターはオンラインとなり、ログの受信準備が整います。XDR の インテグレーション > データコレクター からコレクターのステータスを確認してください。

トラブルシューティングコンソールへのアクセス🔗

Admiralコンソールを使用すると、デプロイ済みの XDR Collector に関する情報にローカルでアクセスできます。Admiral内のツールは、デバイスのセットアップやネットワーク接続などの一般的な問題のトラブルシューティングに役立ちます。

詳細は Admiral Console を参照してください。

XDR Collector 構成の編集🔗

重要

稼働中のシステムの XDR Collector 構成を変更することは、デバイスが動作不能になるリスクを伴います。XDR Collector は、構成変更が失敗した場合に可能な限り前の構成にロールバックしようとしますが、XDR Collector の構成変更は、お客様の環境における他の変更と同様の注意を払って実施し、リスクおよび変更管理ガイドラインに従ってください。常にデバイスの再デプロイに備えておいてください。

稼働中かつ正常な XDR Collector の一部の構成パラメータは、ライブコレクター上で変更可能です。これらのパラメータを編集するには、コレクター詳細ページで アクション を選択し、コレクター構成の編集 を選択します。編集可能なフィールドには、ホスト名、プロキシ設定、NTPサーバーが含まれます。ネットワークインターフェース構成を変更する必要がある場合は、新しい XDR Collector をプロビジョニングする必要があります。

コレクター詳細の編集

コレクター構成スライドアウトの編集

XDR Collector の構成変更を送信すると、変更が保留中であることを示すメッセージが表示されます。編集アクションは、変更が完了するまで利用できません。保留中の変更はお客様の XDR Collector にプッシュされ、適用され、接続テストが実施されます。

コレクター構成の編集 保留中

保留中の変更によって XDR Collector が正常に接続できなくなった場合、変更は自動的に前の構成にロールバックされ、バナーに失敗メッセージが表示されます。

コレクター構成の編集 ロールバック

変更が正常に適用されると、通知が表示されます。

コレクター構成の編集 成功

まれに、構成変更とロールバックの両方が失敗する場合があります。例としては、変更中に基盤となるネットワークが変更された場合や、変更中にバックエンドへのネットワーク接続障害が発生した場合などが挙げられます。このような場合は、失敗バナーが表示され、XDR Collector を再デプロイする必要があります。

コレクター構成の編集 失敗

変更が完了したら、新しいGCPテンプレートをダウンロードし、現在のデプロイメントにアップデートを適用してください。これにより、新しいインスタンスが作成された場合でも新しい構成が保持されます。

インテグレーションコレクターダウンロードの管理