HTTP Ingest転送方法の概要🔗
概要🔗
特定のシナリオでは、セキュリティテレメトリーが定期的なバッチではなく連続したストリームとして生成されるため、ほぼリアルタイムでの脅威分析や検査が可能となります。このようなシナリオでは、Secureworks® Taegis™ XDRとのメッセージ単位でのより直接的な連携が理想的です。
XDR HTTP Ingestは、お客様がセキュリティ関連のログをストリーミング方式で投稿できるようにします。
XDR HTTP Ingestは、ログをストリーミング方式で投稿できる機能をサポートしているため、新たな脅威のほぼリアルタイムでの監視や検査が可能となり、潜在的なセキュリティインシデントへの対応力が向上します。さらに、このストリーミング機能により、リアルタイムでのログ取得を必要とする幅広いアプリケーションやシステムとのインテグレーション範囲が拡大します。
参照アーキテクチャ🔗

シナリオ例🔗
ローカルのITセキュリティチームは、クラウドベースのAPIを利用してユーザーアクションの監査ログを定期的にAPIへリクエストし、ユーザーが実行した新しい監査済みアクションをすべて取得しています。セキュリティチームは、APIから取得したメッセージを収集と同時にXDRへ投稿するカスタマイズされたスクリプトを利用し、監査済みアクションをほぼリアルタイムで取り込みできるようにしています。
注意
HTTP Ingestは転送メカニズムです。一部の最適化されたインテグレーションでは、HTTP Ingestを内部的に利用してサポートされているサードパーティソースからデータを配信しており、その場合、XDRは配信されたデータに対してソース固有の正規化や検知を適用します。HTTP Ingestを直接利用して既存の最適化されたインテグレーションに含まれないソースからデータを配信する場合は、カスタム転送としてカスタムインテグレーションに利用されます。Taegisへのデータ転送は、正しい形式のリクエストを投稿するすべてのソースで保証されますが、型付きスキーマへの正規化、検索の関連性、ソース固有の検知などの下流の結果は、データソースが認識されているかどうかに依存します。認識されていないソースからのレコードはGenericスキーマで保存され、完全に活用するにはカスタムパーサーやカスタム検出ルールが必要となる場合があります。
セットアップ🔗
HTTP Ingestはセットアップガイドに従って設定できます。
詳細なAPIガイダンス🔗
サポートされているコンテンツタイプ、ペイロードサイズの推奨値、レスポンスコード、リトライ動作、インテグレーションキーのローテーション、テナントスコーピングなど、開発者向けの詳細についてはHTTP Ingest APIの利用開始をご参照ください。