インテグレーション概要🔗

XDR テレメトリーフローチャート🔗

Secureworks® Taegis™ XDR に連携できるデータは3種類あります：

お客様が連携を予定しているデータソースの種類によって、XDR でセキュリティデータフローを構成する方法はさまざまです。下記の図は、異なるデータタイプが XDR データレイクにどのように流れるかを示しています。

考えられる構成例は以下の通りです。詳細はデータソースをご参照ください。

Syslogデータソース → データコレクター → XDR

お客様の環境にデータコレクターをセットアップし、Syslogデータソースから直接コレクターにデータを送信するように設定します。

クラウドデータソース → XDR

クラウドデータソースを設定し、データコレクターを必要とせずに直接Taegis XDRへ転送します。

SIEM → データコレクター → XDR

セキュリティデータをSIEMや他のデータサーバーに取り込み、その後SIEMまたはデータサーバーからデータコレクターへ転送するように設定します。

データコレクターは、Syslogテレメトリーを受信し、XDR データレイクへ転送します。XDR は、従来のセキュリティコントロールからテレメトリーやログを取得するために、無制限のデータコレクターをサポートしています。

データコレクターを XDR に接続する一般的なワークフローは以下の通りです：

コレクターの台数や設置場所を決定する際は、以下を考慮してください：

コレクターは理想的な条件下（十分なコンピュート、ストレージ、帯域幅）で毎秒200,000イベント（EPS）を処理できます。
設置場所を決める際は、地理的な位置や帯域幅の問題を考慮してください。
Secureworksは、コレクターをデータソースの近くに配置することを推奨します。データソースのログトラフィックがコレクターに確実に到達するよう、十分なネットワーク権限があることを確認してください。

データコレクターのインテグレーションガイド：

重要

Secureworksは、すべての XDR 導入に対して、いずれかのEDRエージェントを必須としています。

XDR は、以下を含む複数のEDRエージェントをサポートしています：

注意

Secureworksは、2つのエンドポイントエージェントをXDRに連携することを推奨していません。複数のエンドポイントエージェントを稼働させると、テレメトリーや検知の重複、エージェントのパフォーマンス問題が発生する可能性があります。

XDR へデータソースを連携する方法は複数あります。いくつかの方法はデータコレクターを利用し、他は外部プラットフォームへのAPI接続に依存します。

最上位の分類として、データソースはSecureworks最適化インテグレーションまたはカスタムインテグレーションを通じてXDRと連携できます：

これは、データソースおよび取り込み経路を対象としたエンドツーエンドのインテグレーションであり、下流の正規化、検索、検知生成などの成果がXDRによって事前に決定・テスト・ドキュメント化されています。

連携したいデータソースがSecureworksによってすでに最適化されているか、テスト済みの手順が用意されているかをまずご確認ください。Secureworks最適化インテグレーションの全リストは以下をご参照ください：

これは、データソースからXDRへのデータ転送のみが保証されるインテグレーションであり、下流の正規化、検索、検知生成などの成果はテストされておらず、取り込み後に追加作業が必要となる場合があります。

連携したいデータソースがまだSecureworksによって最適化されていない場合や、追加の連携オプションを検討したい場合は、利用可能なカスタム転送方法がいくつかあります。詳細は以下をご参照ください：

ログが期待通りに受信されているかの確認や、既存インテグレーションの削除・ステータス確認については、以下のトピックをご参照ください：