コンテンツにスキップ

データコレクターの管理🔗

組織で現在連携されているTaegis™ XDR Collectorの一覧や正常性の状態を、データコレクターページで確認できます。

データコレクターを表示するには、Taegis Menuからインテグレーション → データコレクターを選択してください。

このページでは、組織で設定されているデータコレクターがサマリーカードまたはリストビューで表示されます。

データコレクター

ページビューの調整🔗

ページ左上のボタンを使って、データコレクターのサマリーカードビューとリストビューを切り替えることができます。

データコレクタービューの切り替え

コレクターのステータスと正常性の確認🔗

データコレクターページでは、各コレクターの現在のステータスや最近のアクティビティなど、クイックビュー情報が表示されます。

  • ステータス — コレクターの現在の正常性の状態:
ステータス 説明
オンライン コレクターが報告されており、すべてのアプリケーションが展開され正常です。
警告 一部 のコレクターアプリケーションが最近報告されていない、または正しく展開されていません。
オフライン コレクターは以前にプロビジョニングされましたが、最近報告されていません。
プロビジョニング中 コレクターはまだ展開されていません。


  • 最後にログを受信した時刻 — 組織の環境内のデバイスからコレクターがデータを受信した直近1時間以内のタイムスタンプ

注意

N/Aは、直近1時間以内にデータが報告されていないことを示します。

  • 平均毎時レート — このコレクターで直近1時間に観測された平均データ量(バイト/秒)。レートにカーソルを合わせると詳細情報が表示されます。

コレクターの詳細情報の表示🔗

サマリーカードビューからカードを選択するか、リストビューからコレクター名を選択すると、コレクターの追加詳細が表示されます。

コレクター詳細概要

サマリータブ🔗

詳細🔗

サマリータブの左側には、コレクターのステータス、タイプ、作成日、IPアドレスなどの情報が表示されます。

右側には情報カードが表示されます:

  • 現在のデータソース — データソースの総数と、正常・警告・データ未生成の内訳が表示されます。これらの指標を選択すると、該当するデータソースのフィルタ済みテーブルが表示されます。
  • データ使用量 — テナントの当月のデータ使用量が表示されます。この指標を選択すると、データ使用量ページに移動します。
  • 合計イベント数 — 過去24時間にデータコレクターが収集したイベントの合計数です。

正常性🔗

サマリータブ右側の正常性セクションでは、コレクターの現在のステータス、データ取り込みフローのグラフ、コレクターにデータを送信しているsyslogソースのテーブルが表示されます。これにより、どのソースが期待通りにデータを送信しているか、または送信していないか、コレクターデータの流れを時系列で確認できます。

デフォルトでは、このテーブルは直近1時間のデータを表示します。ドロップダウンメニューで期間を最大過去30日まで拡張できます。

コレクター正常性期間の調整

アプリケーション🔗

サマリータブ左側のアプリケーションセクションでは、組織の環境内のデバイスからデータを取得するためにコレクターにインストール可能なアプリケーションのテーブルが表示されます(例:eStreamer)。

ヒント

「インストール済み」にカーソルを合わせると、アプリケーション証明書の有効期限が表示されます。

パフォーマンスタブ🔗

データコレクター詳細のパフォーマンスタブでは、コレクターのスループットや全体的なパフォーマンスに関する有用なデータが提供されます。表示されるグラフは、スループット関連の問題のトラブルシューティングやキャパシティプランニングに役立ちます。

デフォルトでは、パフォーマンスタブは直近1時間のデータを表示します。ページ右上のドロップダウンメニューで期間を最大過去30日まで拡張できます。

コレクターパフォーマンス指標

バックログエイジ🔗

XDR Collectorは受信したイベントをバッチ処理し圧縮します。バッチが一定のサイズまたは経過時間に達すると、XDRバックエンドへのキューに移されます。バックログエイジグラフは、ページで設定した期間内でバックエンドへの転送待ちキュー内で最も古いファイルの経過時間を表示します。

理想的な状況では、このグラフは平坦なままです。ただし、高負荷で動作しているデバイスでは数秒(通常60秒未満)のスパイクが発生することも珍しくありません。このグラフは、キャパシティ関連の問題の特定にも役立ちます。グラフが単調増加したり、業務時間中に増加し、業務時間外にゼロに戻る場合は、デバイスが現在の負荷に圧倒されており、イベント配信が遅延していることを示します。これは、出口ネットワークの帯域過剰利用やQoSスロットリングが原因である可能性があります。

グラフ下のテーブルには、デバイスごとの最小(MIN)、最大(MAX)、平均(AVG)、最新(LAST)の経過時間が表示されます。各デバイスは、上部凡例の色付き四角をクリックして個別に選択できます。

コレクターバックログエイジチャート

バックログカウント🔗

バックログエイジグラフと同様に、バックログカウントグラフは、ページで設定した期間内でバックエンドへの転送待ちキュー内のファイル数を示します。トラブルシューティングのヒントはバックログエイジグラフと同じです。キャパシティやスループットの問題の兆候は、グラフが増加し、業務時間外にのみ平坦化する場合に現れます。原因としては、出口ネットワークの帯域過剰利用、QoSスロットリング、プロキシの過負荷、コレクターの過負荷などが考えられます。

グラフ下のテーブルには、デバイスごとの最小(MIN)、最大(MAX)、平均(AVG)、最新(LAST)のカウント値が表示されます。各デバイスは、上部凡例の色付き四角をクリックして個別に選択できます。

コレクターバックログカウントチャート

取り込み/送信(Ingress / Egress)🔗

取り込み/送信グラフは、コレクターの主要ネットワークインターフェースで受信(取り込み)および送信(送信)されたバイト数の合計を、ページで設定した期間内で表示します。syslogやestreamerデータなどの取り込みデータは圧縮されていませんが、コレクターで圧縮されてからバックエンドに送信されるため、取り込みレートが送信レートより高くなることが一般的です。

バックログエイジやカウントの増加が見られる場合は、特に送信帯域の飽和を示すプラトーがないか、デバイスの送信レートを調査することが有効です。取り込み/送信グラフでは、「Ingress」または「Egress」横の色付きボックスをクリックして個別の指標を選択できます。

高可用性構成のXDR Collectorでは、各デバイスごとに個別のグラフが生成されます。

取り込みおよび送信指標

メンテナンスタブ🔗

データコレクター詳細のメンテナンスタブでは、今後予定されているおよび完了したサービスメンテナンスの情報を提供し、今後のメンテナンスに合わせてスケジュールに合ったメンテナンスウィンドウを設定できます。

サービスメンテナンスは、通常の継続的なソフトウェア配信やアップデートを超える変更を伴い、多くの場合、OSやカーネルの大規模なアップグレードが含まれ、完了後にデバイスの再起動が必要となります。システムには、スケジュールされたサービスメンテナンスのための事前チェックや自動ロールバックなどの安全対策が組み込まれています。

重要

影響が最小限となる時間帯、かつ問題発生時に対応可能な時間帯にメンテナンスウィンドウを設定することを推奨します。

コレクターメンテナンス概要

メンテナンスウィンドウの設定🔗

メンテナンスタブ左側のメンテナンスウィンドウペインで、サービスメンテナンスの希望ウィンドウを指定できます。メンテナンスウィンドウを設定するには:

  1. ドロップダウンメニューからサービスメンテナンスの希望曜日を選択します。
  2. UTCで希望開始時刻を選択します。
  3. 希望する期間を選択します。
  4. 更新を送信を選択します。

これらの設定はいつでも変更可能です。ただし、これはまだスケジュールされていない変更にのみ適用されます。一度メンテナンスがスケジュールされると、メンテナンスウィンドウを更新しても影響しません。スケジュールされたメンテナンス期間中にデバイスが異常またはアクセス不能な場合、メンテナンスは実施されません。

メンテナンスウィンドウの設定

ログの詳細🔗

メンテナンスタブ右側のログペインには、今後および過去のデバイスサービスメンテナンスが一覧表示されます。

今後の予定🔗

今後のテーブルには、サービスメンテナンスの名前、開始時刻、ステータス、延期状態などの詳細が表示されます。各メンテナンスは、行のチェックボックスを選択しメンテナンスの延期を選ぶことで一度だけ延期でき、開始時刻が翌週に変更されます。

今後のメンテナンスタスク

今後のメンテナンスのステータスは以下のいずれかです:

  • 保留中 — メンテナンスがスケジュールされています。
  • ダウンロード準備完了 — アップグレード用ファイルがダウンロードおよびステージング中です。
  • アップグレード準備完了 — ダウンロード済みファイルが正常にステージングされています。
  • アップグレード実行中 — メンテナンスが現在進行中です。
  • アップグレード実行中(再起動中) — メンテナンスファイルのインストール後、デバイスが再起動しています。

デバイスが再起動後30分以内にアクセスを回復しない場合は、製品サポートまでご連絡ください。

履歴🔗

履歴テーブルには、過去のデバイスサービスメンテナンスの記録が表示され、メンテナンス名、開始時刻、終了時刻、ステータスなどの情報が含まれます。メンテナンス履歴のステータスは以下のいずれかです:

  • 完了 — メンテナンスが正常に完了しました。
  • 失敗 — メンテナンスが正常に完了せず、デバイスは以前の状態にリストアされました。

失敗したメンテナンスはSecureworksによって監視され、再スケジュール前に問題が解決されます。

メンテナンス履歴記録

メンテナンス通知🔗

XDRは、今後のメンテナンスについてユーザーに通知するために様々な方法を使用します。

メールおよびアプリ内通知🔗

ユーザープリファレンスの正常性の状態セクションにある今後のデータコレクターメンテナンスオプションを有効にすると、今後のメンテナンスについて全ユーザーにメールおよびXDRアプリ内通知で通知されます。

通知プリファレンスの設定

データコレクター詳細メンテナンスバナー🔗

スケジュールされたメンテナンスがあるデバイスには、残り時間や個別の通知設定に関係なく、データコレクター詳細ページに情報バナーが表示されます。

メンテナンス情報バナー

サービスメンテナンスFAQ🔗

サービスメンテナンスとは何ですか?

サービスメンテナンスは、通常のソフトウェアアップデートを超える大規模な更新や変更を伴います。これには、主要なオペレーティングシステムやカーネルのアップグレードが含まれ、プロセス完了のためにデバイスの再起動が必要となる場合があります。システムには、事前チェックや自動ロールバック機能などの安全対策が組み込まれており、円滑かつ安全なメンテナンスを実現しています。

サービスメンテナンスはどのくらいの頻度で行われますか?また、なぜメンテナンスウィンドウは毎週設定されているのですか?

サービスメンテナンスは毎週実施されるものではありません。毎週のメンテナンスウィンドウは、必要な場合に影響を最小限に抑えるための一貫した時間枠を設けるために設定されています。これは毎週メンテナンスが行われることを意味するのではなく、必要な際に利用できる時間枠が確保されていることを意味します。

サービスメンテナンス中にログやイベントが失われるリスクはありますか?

メンテナンスプロセスには再起動が含まれる場合があり、ログの送信が中断される可能性があります。信頼性の高い配信方法を使用せずにログが送信されている場合、この間にログが失われるリスクがあります。ただし、TCPなどの信頼性の高い方法でログが送信されている場合、デバイスがオンラインに戻った後、送信アプリケーション側で再送信されます。メンテナンス中のログの保持は、配信メカニズムや送信アプリケーションの動作に大きく依存します。

今後のサービスメンテナンスイベントについてはどのように通知されますか?

ユーザープリファレンスの正常性の状態セクションで「今後のデータコレクターメンテナンス」アラートの受信を有効にしている場合、今後のサービスメンテナンスについて通知を受け取ります。この設定が有効な場合、スケジュールされたメンテナンスの1週間前から毎日メール通知が届き、十分な準備時間が確保されます。

スケジュールされたサービスメンテナンス中に問題が発生した場合の安全対策は何ですか?

システムには、スケジュールされたサービスメンテナンス中のリスクを軽減するための複数の安全対策が組み込まれています。アップグレード開始前に、データコレクターは正常な状態であることを確認するための事前チェックを実施します。メンテナンス中に重大な問題が発生した場合は、自動ロールバックが実行され、以前の安定バージョンに再起動されます。まれにデバイスが応答しなくなった場合でも、他の問題発生時と同様にデバイスのステータスが通知されます。

ファイルのダウンロード🔗

コレクターの詳細画面から、認証情報、.ISO、.OVAなど、コレクター用のすべての利用可能なファイルを表示・ダウンロードするには、アクションを選択し、コレクターファイルのダウンロードを選択してください。インストール手順へのリンクもあります。

コレクター名または説明の編集🔗

コレクター名を変更したり説明を編集するには、名前または説明の横にある編集アイコン()を選択し、変更内容を入力して保存を選択してください。

コレクター設定の編集🔗

注意

コレクターを編集するにはテナント管理者である必要があります。

「READY」ステータスで稼働中かつ正常なXDR Collectorの一部設定パラメータを編集するには、アクションを選択し、コレクター設定の編集を選択してください。

重要

稼働中のXDR Collectorの設定を変更すると、デバイスが動作不能になるリスクがあります。設定変更が失敗した場合、XDR Collectorは可能な限り前の設定にロールバックを試みます。XDR Collectorの設定変更は、他の環境変更と同様にリスクおよび変更管理ガイドラインに従い、慎重に実施してください。常にデバイスの再展開に備えておく必要があります。

詳細は、コレクタータイプごとに以下をご参照ください:AWSデータコレクターAzureデータコレクターGoogle Cloud Platform (GCP) データコレクターオンプレミスデータコレクター

コレクターの削除🔗

注意

XDRへのログイン権限がない場合は、権限を持つ方に依頼して必要な手順を実施してください。または、Secureworks®担当者にご相談ください。

注意

コレクターを削除するにはテナント管理者である必要があります。

コレクターを削除するには:

  1. Taegis Menuからインテグレーションにカーソルを合わせ、データコレクターを選択します。
  2. ページの表示形式に応じて、該当するサマリーカードまたはリストからコレクター名を選択し、コレクター詳細を開きます。
  3. アクションのドロップダウンメニューから削除を選択します。
  4. コレクターの削除を確認します。

コレクター削除の確認