コンテンツにスキップ

Google Cloud Platform (GCP) データコレクター🔗

Secureworks® Taegis™ XDR には Google Cloud Platform (GCP) でセットアップできるコレクターがあります。GCP 用の Taegis™ XDR Collector は、GCP Infrastructure Manager で使用するための Terraform 構成として提供されます。各コレクターは、その構成によって一意に識別されます。利便性のため、構成データはカスタムデータとして Terraform 構成に注入されます。この構成により、以下のリソースが作成されます。

  • Compute インスタンス: インスタンス起動時に使用されるコンピュートインスタンスのパラメータを定義します。これには、リージョンに適したイメージとユーザーデータが含まれます。
  • 永続データディスク: インスタンスに接続された 200 GB の永続ディスク。
  • ネットワークインターフェース: 適切なネットワークおよびサブネットパラメータでプロビジョニングされたインスタンス用のネットワークインターフェース。
  • ファイアウォールルール: インスタンスが XDR Collector として動作するためにプロビジョニングされた一連のファイアウォールルール。

XDR では、Terraform 構成をダウンロードするオプションが提供されています。この構成はほとんどの GCP 環境で動作する はず ですが、ご利用前に必ず内容を慎重に確認し、関連するすべてのネットワークおよびセキュリティポリシーに準拠していることを確認してください。上級ユーザーは、Terraform 構成およびユーザーデータを抽出して、ご自身の IaC や自動化ツールに組み込むことができます。

構成に関する注意事項🔗

  • 生成された構成は、コンピュートインスタンスのネットワークインターフェースおよび、レポーティング、NTP、TCP-DNS、UDP-DNS、TCP-syslog、UDP-syslog 用のコンピュートファイアウォールルールを作成します。

  • 生成された構成は、コレクターに /dev/sdb として接続される 200G サイズのコンピュートエンジン永続ディスクを作成します。構成をカスタマイズしたり独自の自動化を実装する場合は、デバイスが常に /dev/sdb として、かつ最小サイズ 200G で接続されていることを確認してください。

  • Infrastructure Manager には、GCP プロジェクト内で以下のロールを持つ ユーザー管理サービスアカウント が必要です。

    • roles/compute.instanceAdmin.v1: コンピュートインスタンスおよびディスクの作成と管理。
    • roles/compute.securityAdmin: ファイアウォールルールの作成と管理。
    • roles/config.agent: Infrastructure Manager に必要。

    作成するには、Cloud Shell または gcloud CLI で以下のコマンドを実行してください。

    PROJECT_ID をお客様の GCP プロジェクト ID に置き換えてください。

    gcloud iam service-accounts create infra-manager-sa \
  --display-name="Infrastructure Manager" \
  --project=PROJECT_ID

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:infra-manager-sa@PROJECT_ID.iam.gserviceaccount.com" \
  --role="roles/compute.instanceAdmin.v1"

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:infra-manager-sa@PROJECT_ID.iam.gserviceaccount.com" \
  --role="roles/compute.securityAdmin"

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:infra-manager-sa@PROJECT_ID.iam.gserviceaccount.com" \
  --role="roles/config.agent"

    注意

    Infrastructure Manager は Google 管理サービスエージェント(<numeric ID>@cloudservices.gserviceaccount.com)をサポートしていません。上記のようにユーザー管理サービスアカウントを使用する必要があります。

  • GCP Shared VPC にデプロイする場合は、追加のプロジェクトレベルの構成およびサービスアカウント権限が必要です。詳細は Shared VPC サポート(オプション) を参照してください。

注意

XDRコレクターは、適切に構成されたクラウドおよびオンプレミスのコレクターに対して、最大200K EPS(毎秒イベント数)をサポートできます。

注意

サードパーティ製ツールやアプリケーションは、いかなるXDRコレクターにもインストールできません。

データコレクターの接続要件🔗

注意

XDRの特定の設定は、お客様のテナントがあるリージョン(US1, US2, US3, EU1, EU2)によって異なる点があります。

独自のSSL証明書を使用するすべてのデバイス(クラウドベースおよびオンプレミスのデータコレクターを含む)は、競合を回避するために、以下の宛先IPアドレスまたはドメインを許可リストに追加する必要があります。AWSデータコレクターを使用している場合は、AWSの表を参照してください。

ほとんどのデータコレクターの場合🔗

ソース 宛先 ポート/プロトコル 備考
データコレクターのIPまたはホスト名
US1
collector.ctpx.secureworks.com
18.217.45.178/32
3.16.4.173/32
18.224.219.97/32
13.59.146.90/32
3.16.16.254/32
18.223.74.238/32
US2
collector.delta.taegis.secureworks.com
52.14.113.127/32
3.141.73.137/32
3.136.78.106/32
US3
collector.foxtrot.taegis.secureworks.com
44.229.101.49
35.166.77.47
34.214.135.78
EU1
collector.echo.taegis.secureworks.com
18.158.143.139/32
35.159.14.37/32
52.59.37.234/32
EU2
collector.golf.taegis.secureworks.com
54.217.251.111/32
54.194.78.20/32
52.50.215.147/32		 TCP/443 デバイスからXDRへのアクセスを許可リスト化
データコレクターのIPまたはホスト名 プロビジョニング時に提供されたNTPサーバーのIP/ホスト名 UDP/123 デバイスからNTPサーバーへのアクセスを許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
データコレクターのIPまたはホスト名 0.pool.ntp.org
1.pool.ntp.org
2.pool.ntp.org
3.pool.ntp.org		 UDP/123 デバイスからデフォルトNTPサーバーへのアクセスを許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
データコレクターのIPまたはホスト名 プロビジョニング時に提供されたDNSサーバーのIP UDP/53
TCP/53		 デバイスからDNSサーバーへのアクセスを許可リスト化

注意

ローカルNTPを使用する場合は、これらのネットワーク上でデータコレクターとの双方向のアクセスを許可リスト化する必要があります。

AWSデータコレクターの場合🔗

ソース 宛先 ポート/プロトコル 備考
AWSデータコレクターのIPまたはホスト名
US1
collector.ctpx.secureworks.com
18.217.45.178/32
3.16.4.173/32
18.224.219.97/32
13.59.146.90/32
3.16.16.254/32
18.223.74.238/32
US2
collector.delta.taegis.secureworks.com
52.14.113.127/32
3.141.73.137/32
3.136.78.106/32
US3
collector.foxtrot.taegis.secureworks.com
44.229.101.49
35.166.77.47
34.214.135.78
EU1
collector.echo.taegis.secureworks.com
18.158.143.139/32
35.159.14.37/32
52.59.37.234/32
EU2
collector.golf.taegis.secureworks.com
54.217.251.111/32
54.194.78.20/32
52.50.215.147/32		 TCP/443 ホスト名経由でTaegis XDRへのデバイスアクセスを許可リスト化
AWSデータコレクターのIPまたはホスト名 プロビジョニング時に提供されたNTPサーバーのIP/ホスト名 UDP/123 デバイスからNTPサーバーへのアクセスを許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供された場合のみ必要です。
AWSデータコレクターのIPまたはホスト名 169.254.169.123 UDP/123 デバイスからデフォルトNTPサーバーへのアクセスを許可リスト化

このルールは、プロビジョニング時にカスタムNTPサーバーが提供されていない場合のみ必要です。
AWSデータコレクターのIPまたはホスト名 プロビジョニング時に提供されたDNSサーバーのIP UDP/53
TCP/53		 デバイスからDNSサーバーへのアクセスを許可リスト化

プロキシサポート🔗

クラウドベースおよびオンプレミスのデータコレクターは、インターネットに直接接続できない場合、ホスト上のローカルプロキシ設定を自動的に検出しようとします。

クラウドベースおよびオンプレミスのデータコレクターは、ハードコードされたプロキシにも対応しています。ハードコードされたプロキシを含むデータコレクターを作成する必要がある場合は、以下の必要情報を添えてサポートリクエストを提出してください。

  • プロキシIP
  • プロキシポート

プロキシが設定されているが利用できない、または到達できない場合、データコレクターは直接接続にフォールバックします。

注意

クラウドベースおよびオンプレミスのデータコレクターは、現時点ではハードコードされた認証付きプロキシをサポートしていません。中間者攻撃(MITM)機能を持つプロキシは、上記のネットワーク接続を許可リスト化する必要があります。

XDR GCP コレクターのインストールと構成🔗

インテグレーション > データコレクター から XDR GCP コレクターの構成プロセスを開始します。プロンプトに従って Terraform 構成を作成し、ダウンロードしてください。構成は GCP Infrastructure Manager および gcloud CLI を使用して適用し、デプロイを完了させます。

前提条件🔗

デプロイ前に、以下を確認してください。

  • Infrastructure Manager API が GCP プロジェクトで有効になっていること。
  • 必要なロールを持つユーザー管理サービスアカウントがあること。詳細は上記 構成に関する注意事項 を参照してください。
  • gcloud CLI がインストールされているか、または GCP コンソールの Cloud Shell を使用してください。

構成のダウンロード🔗

  1. Taegis XDRメニューからインテグレーションを選択し、データコレクターを選択します。

  2. 右上のアクション > コレクターの追加を選択します。

    新しいコレクターの追加

  3. コレクタータイプとしてクラウドホスト型を選択し、次へを選択します。

  4. 必須の名前とホスト名のフィールド、および任意の説明、ホストプロキシ、NTPサーバーのフィールドを入力し、コレクターの作成を選択します。

    注意

    必要に応じて独自のNTPサーバーを指定したり、HTTPプロキシアドレスを追加したりすることができます。HTTPプロキシアドレスは次の形式に従う必要があります: [http\[s]://\[user:pass@]hostname\[:port]|http://<hostname>[:port]]

    注意

    デフォルトおよびカスタムのNTP設定は、起動時のブートストラッププロセス中のみ使用されます。接続が確立されると、データコレクターはXDRバックエンド接続を介して時刻を同期します。接続が確立されると、NTPサーバーの値はAdmiralコンソールntp.collectorとして反映されます。

    クラウドコレクターの作成

    ヒント

    Cisco Firepower Threat Defense (FTD)デバイスからすべてのセキュリティイベントログを取得するためにeStreamerアプリをコレクターに追加するには、eStreamerアプリを参照してください。詳細については、Cisco FTD Firewallガイドを参照してください。

  5. コレクターのインストールセクションには、以下のオプションが表示されます。

    • Amazon Web Services (AWS) — このオプションはXDRコレクターをAWSにデプロイする場合に使用します。
    • Google Cloud Platform (GCP) — このオプションはXDRコレクターをGCPにデプロイする場合に使用します。
    • Microsoft Azure — このオプションはXDRコレクターをAzureにデプロイする場合に使用します。

  6. Google Cloud Platform (GCP) を選択します。

  7. インスタンスをデプロイする GCP プロジェクト ID を入力します。
  8. サービスエージェントID を入力します。
  9. デプロイしたい GCP リージョンGCP ゾーン を選択します。
  10. インスタンスが属する ネットワーク名 を指定します。
  11. インターフェースが属する サブネット名 を指定します。
  12. ファイアウォールルール用の ネットワーク CIDR またはネットワーク宛先を入力します。
  13. (オプション)VPC ネットワークがコレクターをデプロイする GCP プロジェクトとは異なる GCP プロジェクトでホストされている場合(Shared VPC)、ネットワークプロジェクトID を入力します。空欄の場合は GCP プロジェクト ID が使用されます。Shared VPC サポート(オプション) を参照してください。

  14. ダウンロード を選択して、Terraform 構成アーカイブ(.zip)をダウンロードします。

    GCP Collector

    注意

    構成が関連するすべてのネットワークおよびセキュリティポリシーに準拠していることを慎重に確認してください。上級ユーザーは、Terraform ファイルおよびユーザーデータを抽出して、ご自身の IaC や自動化ツールに組み込むことができます。

構成のデプロイ🔗

  1. GCP コンソールで、右上のアイコンから Cloud Shell を開きます。

    Open Cloud Shell

  2. メニューアイコンを選択し、アップロード を選んで、上記 14 の手順で XDR からダウンロードした .zip ファイルをアップロードします。

    Upload Configuration Archive

  3. アップロードしたアーカイブを解凍します。

    unzip collector-*.zip -d collector-infrastructure

  4. Infrastructure Manager を使って構成をデプロイします。

    gcloud infra-manager deployments apply \
  projects/PROJECT_ID/locations/LOCATION/deployments/taegis-collector \
  --service-account projects/PROJECT_ID/serviceAccounts/infra-manager-sa@PROJECT_ID.iam.gserviceaccount.com \
  --local-source="./collector-infrastructure" \
  --tf-version-constraint="1.5.7"

    注意

    以下を置き換えてください。

    • PROJECT_ID: GCP プロジェクト ID(コレクターインスタンスが実行されるサービスプロジェクト)。
    • LOCATION: サポートされている Infrastructure Manager ロケーション(例: us-central1)。

    ヒント

    gcloud infra-manager previews create を同じ引数で使用することで、適用前にデプロイ内容をプレビューできます。これにより、リソースがどのように作成されるかを事前に確認できます(実際の変更は行われません)。

  5. コマンドが成功を報告した後、コレクターのステータスは 10 分弱で Provisioning から変わるはずです。この時点でコレクターはオンラインとなり、ログの受信準備が整います。XDR の インテグレーション > データコレクター からコレクターのステータスを確認してください。

Shared VPC サポート(オプション)🔗

GCP Shared VPC デプロイメントでは、ネットワークの所有権とワークロードの所有権が 2 つの GCP プロジェクト間で分離されます。

  • ホストプロジェクト: VPC ネットワークとサブネットを所有します。ファイアウォールルールはここで作成されます。
  • サービスプロジェクト: コレクターのコンピュートインスタンスとディスクがデプロイされる場所です。

デフォルトでは、コレクターは VPC ネットワークとコンピュートインスタンスが同じプロジェクト内にあると想定します。Shared VPC にデプロイするには、構成のダウンロード 前に以下の追加手順を実施してください。

前提条件🔗

  • Shared VPC を有効にするには、Shared VPC Admin ロール(roles/compute.xpnAdmin)が 組織レベル(プロジェクトレベルではなく)で付与されている必要があります。このロールがない場合は、GCP 組織管理者に連絡してください。
  • ホストプロジェクトとサービスプロジェクトの両方が事前に存在している必要があります。

ステップ 1: ホストプロジェクトで Shared VPC を有効化🔗

gcloud CLI または Cloud Shell で以下のコマンドを実行します。

HOST_PROJECT_ID を VPC ネットワークを所有する GCP プロジェクト ID に置き換えてください。

gcloud compute shared-vpc enable HOST_PROJECT_ID

ステップ 2: サービスプロジェクトをホストプロジェクトにアタッチ🔗

gcloud compute shared-vpc associated-projects add SERVICE_PROJECT_ID \
  --host-project=HOST_PROJECT_ID

以下を置き換えてください。

  • HOST_PROJECT_ID: VPC(ネットワークプロジェクト)を所有する GCP プロジェクト。
  • SERVICE_PROJECT_ID: コレクターインスタンスが実行される GCP プロジェクト。

ステップ 3: ホストプロジェクトでサービスアカウントに権限を付与🔗

infra-manager-sa サービスアカウント(構成に関する注意事項 で作成)はサービスプロジェクトで動作しますが、ホストプロジェクトでファイアウォールルールを作成し、共有ネットワークを利用するために追加の権限が必要です。

HOST_PROJECT_ID および SERVICE_PROJECT_ID をお客様のプロジェクト ID に置き換えてください。

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
  --member="serviceAccount:infra-manager-sa@SERVICE_PROJECT_ID.iam.gserviceaccount.com" \
  --role="roles/compute.securityAdmin"

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
  --member="serviceAccount:infra-manager-sa@SERVICE_PROJECT_ID.iam.gserviceaccount.com" \
  --role="roles/compute.networkUser"
ロール 目的
ホストプロジェクトの roles/compute.securityAdmin ホストプロジェクトでファイアウォールルールの作成と管理を許可
ホストプロジェクトの roles/compute.networkUser コレクターインスタンスが共有 VPC ネットワークおよびサブネットに接続することを許可

ステップ 4: ダウンロードとデプロイ🔗

XDR ウィザードで Terraform 構成をダウンロードする際、ネットワークプロジェクトID フィールドにホストプロジェクト ID を入力してください。他のすべてのフィールドはサービスプロジェクトを指すようにしてください。

Infrastructure Manager でデプロイする際、デプロイコマンドの PROJECT_IDサービスプロジェクト(インスタンスが実行される場所)のままにしてください。

gcloud infra-manager deployments apply \
  projects/SERVICE_PROJECT_ID/locations/LOCATION/deployments/taegis-collector \
  --service-account projects/SERVICE_PROJECT_ID/serviceAccounts/infra-manager-sa@SERVICE_PROJECT_ID.iam.gserviceaccount.com \
  --local-source="./collector-infrastructure" \
  --tf-version-constraint="1.5.7"

トラブルシューティングコンソールへのアクセス🔗

Admiral コンソールを使用すると、デプロイ済みの XDR Collector にローカルでアクセスし、情報を確認できます。Admiral 内のツールは、デバイスのセットアップやネットワーク接続などの一般的な問題のトラブルシューティングに役立ちます。

詳細は Admiral Console を参照してください。

XDR Collector 構成の編集🔗

重要

稼働中の XDR Collector 構成を変更することは、デバイスが動作不能になるリスクを伴います。XDR Collector は、構成変更が失敗した場合に可能な限り前の構成にロールバックしようとしますが、XDR Collector の構成変更は、お客様の環境における他の変更と同様の注意を払って実施し、リスクおよび変更管理ガイドラインに従ってください。常にデバイスの再デプロイに備えてください。

稼働中かつ正常な XDR Collector の特定の構成パラメータは、ライブコレクター上で変更できます。これらのパラメータを編集するには、アクション を選択し、コレクター詳細ページから コレクター構成の編集 を選択してください。編集可能なフィールドには、ホスト名、プロキシ設定、NTP サーバーが含まれます。ネットワークインターフェース構成を変更する必要がある場合は、新しい XDR Collector をプロビジョニングしてください。

Edit Collector Details

Edit Collector Configuration Slideout

XDR Collector 構成変更を送信すると、変更が保留中であることを示すメッセージが表示されます。変更が完了するまで編集アクションは利用できません。保留中の変更はお客様の XDR Collector にプッシュされ、適用されるとともに接続テストが実施されます。

Edit Collector Configuration Pending

保留中の変更によって XDR Collector が正常に接続できなくなった場合、変更は自動的に前の構成にロールバックされ、バナーに失敗メッセージが表示されます。

Edit Collector Configuration Rolled Back

変更が正常に適用されると、通知が表示されます。

Edit Collector Configuration Success

まれに、構成変更とロールバックの両方が失敗する場合があります。例としては、変更中に基盤となるネットワークが変更された場合や、変更中にバックエンドへのネットワーク接続障害が発生した場合などが挙げられます。このような場合は失敗バナーが表示され、XDR Collector を再デプロイする必要があります。

Edit Collector Configuration Failed

変更が完了したら、新しい Terraform 構成をダウンロードし、初期セットアップ時と同じ引数で gcloud infra-manager deployments apply を使用してデプロイメントを更新してください。これにより、新しいインスタンスが作成された場合でも新しい構成が維持されます。

Manage Integrations Collector Downloads