インテグレーション概要🔗

XDR テレメトリーフローチャート🔗

Secureworks® Taegis™ XDR に連携できるデータは3種類あります。

連携を予定しているデータソースの種類によって、XDR でセキュリティデータフローを構成する方法はさまざまです。下記の図は、異なるデータタイプが XDR データレイクにどのように流れるかを示しています。

考えられる構成例は以下の通りです。詳細はデータソースをご参照ください。

Syslogデータソース → データコレクター → XDR

お客様の環境にデータコレクターをセットアップし、Syslogデータソースから直接コレクターにデータを送信します。

クラウドデータソース → XDR

クラウドデータソースを設定し、データコレクターを介さずに直接Taegis XDRへ転送します。

SIEM → データコレクター → XDR

セキュリティデータをSIEMや他のデータサーバーに取り込み、SIEMまたはデータサーバーからデータコレクターへ転送するように設定します。

データコレクターは、Syslogテレメトリーを受信し、XDR データレイクへ転送します。XDR は、従来のセキュリティコントロールからテレメトリーやログを取得するために、無制限のデータコレクターをサポートしています。

データコレクターを XDR に接続する一般的なワークフローは以下の通りです。

コレクターの台数や設置場所を決定する際は、以下を考慮してください。

コレクターは理想的な条件下（十分な計算能力、ストレージ、帯域幅）で1秒あたり200,000イベント（EPS）を処理できます。
設置場所を決める際は、地理的な位置や帯域幅の問題を考慮してください。
Secureworksは、コレクターをデータソースの近くに配置することを推奨します。データソースのログトラフィックがコレクターに確実に到達するよう、十分なネットワーク権限があることを確認してください。

データコレクターのインテグレーションガイド：

重要

Secureworksは、すべての XDR 導入に対して、いずれかのEDRエージェントを必須としています。

XDR は、以下を含む複数のEDRエージェントをサポートしています。

注意

Secureworksは、2つのエンドポイントエージェントをXDRに連携することを推奨していません。複数のエージェントを稼働させると、テレメトリーや検知の重複、エージェントのパフォーマンス問題が発生する可能性があります。

データソースをXDRに連携する方法は複数あります。いくつかの方法はデータコレクターを利用し、他は外部プラットフォームへのAPI接続に依存します。

最上位の分類として、データソースはSecureworks最適化インテグレーションまたはカスタムインテグレーションを通じてXDRに連携できます。

これは、データソースおよび取り込み経路を対象としたエンドツーエンドのインテグレーションであり、下流の正規化、検索、検知生成などの結果がXDRによって事前に決定・テスト・ドキュメント化されています。

連携したいデータソースがすでにSecureworksによって最適化されているかどうかを、まずご確認ください。最適化済みインテグレーションの一覧は以下をご参照ください。

これは、データソースからXDRへのデータ転送のみが保証されるインテグレーションであり、下流の正規化、検索、検知生成などはテストされておらず、取り込み後に追加作業が必要となる場合があります。

ご希望のデータソースがまだSecureworksによって最適化されていない場合や、追加の連携オプションを検討したい場合は、利用可能なカスタム転送方法がいくつかあります。詳細は以下をご参照ください。

ログが期待通りに受信されているかの確認や、既存インテグレーションの削除・ステータス確認については、以下のトピックをご参照ください。