コンテンツにスキップ

データコレクターの管理🔗

お客様の組織で現在連携されているTaegis™ XDR Collectorの一覧と、その正常性の状態をデータコレクターページで確認できます。

データコレクターを表示するには、Taegis Menuからインテグレーション → データコレクターを選択してください。

このページでは、組織で設定されているデータコレクターがサマリーカードまたはリストビューで表示されます。

データコレクター

ページビューの調整🔗

ページ左上のボタンを使って、データコレクターのサマリーカードビューとリストビューを切り替えることができます。

データコレクタービューの切り替え

コレクターのステータスと正常性の確認🔗

データコレクターページでは、各コレクターの現在のステータスや最近のアクティビティなど、クイックビュー情報が表示されます。主な内容は以下の通りです。

  • ステータス — コレクターの現在の正常性の状態:
ステータス 説明
オンライン コレクターが報告を行い、すべてのアプリケーションが展開され正常です。
警告 一部 のコレクターアプリケーションが最近報告していない、または正しく展開されていません。
オフライン コレクターは以前にプロビジョニングされましたが、最近報告がありません。
プロビジョニング中 コレクターはまだ展開されていません。


  • 最終ログ受信時刻 — コレクターが組織内のデバイスからデータを受信した直近1時間以内のタイムスタンプ

注意

N/Aは、直近1時間以内にデータが報告されていないことを示します。

  • 平均毎時レート — 過去1時間にこのコレクターで観測された平均データ量(バイト/秒)。レートにカーソルを合わせると詳細情報が表示されます。

コレクターの詳細情報の表示🔗

サマリーカードビューからカードを選択するか、リストビューからコレクター名を選択すると、そのコレクターの詳細情報が表示されます。

コレクター詳細概要

サマリータブ🔗

詳細🔗

サマリータブの左側には、コレクターのステータス、タイプ、作成日、IPアドレスなどの情報が表示されます。

右側には、以下の情報カードが表示されます。

  • 現在のデータソース — データソースの総数と、正常・警告・データ未生成の内訳が表示されます。これらの指標を選択すると、該当するデータソースのフィルタ済みテーブルが表示されます。
  • データ使用量 — テナントの当月のデータ使用量が表示されます。この指標を選択すると、データ使用量ページに移動します。
  • 合計イベント数 — 過去24時間にこのデータコレクターで収集されたイベントの総数です。

正常性🔗

サマリータブ右側の正常性セクションでは、コレクターの現在のステータス、データ取り込みフローのグラフ、コレクターにデータを送信しているsyslogソースのテーブルが表示されます。これにより、どのソースが期待通りにデータを送信しているか、または送信していないか、コレクターデータの流れの推移を確認できます。

デフォルトでは、このテーブルは直近1時間のデータを表示します。ドロップダウンメニューで期間を最大過去30日まで拡張できます。

コレクター正常性期間の調整

アプリケーション🔗

サマリータブ左側のアプリケーションセクションでは、組織内のデバイスからデータを取得するためにコレクターにインストール可能なアプリケーションのテーブルが表示されます(例:eStreamerなど)。

ヒント

「インストール済み」の文字にカーソルを合わせると、アプリケーション証明書の有効期限が表示されます。

パフォーマンスタブ🔗

データコレクター詳細のパフォーマンスタブでは、コレクターのスループットや全体的なパフォーマンスに関するインサイトを提供します。表示されるグラフは、スループット関連の問題のトラブルシューティングやキャパシティプランニングに活用できます。

デフォルトでは、パフォーマンスタブは直近1時間のデータを表示します。ページ右上のドロップダウンメニューで期間を最大過去30日まで拡張できます。

コレクターパフォーマンス指標

バックログエイジ🔗

XDR Collectorは受信したイベントをバッチ処理し圧縮します。バッチが一定のサイズまたは経過時間に達すると、XDRバックエンドへのキューに移動します。バックログエイジグラフは、ページで設定された期間内でバックエンド転送待ちの最も古いファイルの経過時間を表示します。

理想的な状況では、このグラフは平坦なままです。ただし、高負荷で稼働しているデバイスでは数秒(通常60秒未満)のスパイクが発生することも珍しくありません。このグラフは、キャパシティ関連の問題の特定にも役立ちます。グラフが単調増加したり、業務時間中に増加し、業務時間外にゼロに戻る場合は、デバイスが現在の負荷に圧倒されており、イベント配信が遅延している可能性があります。これは、出口ネットワークの過剰利用やQoSスロットリングが原因となる場合があります。

グラフ下のテーブルには、デバイスごとの最小(MIN)、最大(MAX)、平均(AVG)、最新(LAST)の経過時間が表示されます。各デバイスは、上部凡例の色付き四角をクリックして個別に選択できます。

コレクターバックログエイジチャート

バックログカウント🔗

バックログエイジグラフと同様に、バックログカウントグラフは、ページで設定された期間内でバックエンド転送待ちのファイル数を示します。トラブルシューティングのポイントはバックログエイジグラフと同じです。グラフが増加し、業務時間外にのみ平坦になる場合は、キャパシティやスループットの問題が示唆されます。原因としては、出口ネットワークの過剰利用、QoSスロットリング、プロキシの過負荷、コレクターの過負荷などが考えられます。

グラフ下のテーブルには、デバイスごとの最小(MIN)、最大(MAX)、平均(AVG)、最新(LAST)のカウント値が表示されます。各デバイスは、上部凡例の色付き四角をクリックして個別に選択できます。

コレクターバックログカウントチャート

取り込み/送信(Ingress / Egress)🔗

取り込み/送信グラフは、コレクターの主要ネットワークインターフェースで受信(取り込み)および送信(送信)されたバイト数の合計を、ページで設定された期間内で表示します。syslogやestreamerデータなどの取り込みデータは圧縮されていませんが、コレクターで圧縮されてからバックエンドに送信されるため、取り込みレートが送信レートより高くなることが一般的です。

バックログエイジやカウントの増加が見られる場合は、特に送信レートの平坦化が帯域飽和を示唆するため、デバイスの送信レートを調査することが有効です。取り込み/送信グラフでは、「Ingress」または「Egress」横の色付きボックスをクリックして個別の指標を選択できます。

高可用性構成のXDR Collectorでは、各デバイスごとに個別のグラフが生成されます。

取り込みおよび送信指標

メンテナンスタブ🔗

データコレクター詳細のメンテナンスタブでは、今後予定されているおよび完了したサービスメンテナンスの情報を提供し、今後のメンテナンスに合わせてスケジュールに合ったメンテナンスウィンドウを設定できます。

サービスメンテナンスは、通常の継続的なソフトウェア配信やアップデートを超える変更を伴い、多くの場合、OSやカーネルの大規模なアップグレードが含まれ、完了後にデバイスの再起動が必要となります。システムには、スケジュールされたサービスメンテナンスのための事前チェックや自動ロールバックなどの安全対策が組み込まれています。

重要

影響が最小限となる時間帯、かつ問題発生時に対応可能な時間にメンテナンスウィンドウを設定することを推奨します。

コレクターメンテナンス概要

メンテナンスウィンドウの設定🔗

メンテナンスタブ左側のメンテナンスウィンドウペインで、サービスメンテナンスの希望ウィンドウを指定できます。メンテナンスウィンドウを設定するには:

  1. ドロップダウンメニューからサービスメンテナンスの希望曜日を選択します。
  2. UTCで希望開始時刻を選択します。
  3. 希望する継続時間を選択します。
  4. 更新を送信を選択します。

これらの設定はいつでも変更可能です。ただし、すでにスケジュールされた変更には適用されません。メンテナンスがスケジュールされた後にウィンドウを更新しても、そのメンテナンスには影響しません。スケジュールされたメンテナンス期間中にデバイスが異常またはアクセス不能な場合、メンテナンスは実施されません。

メンテナンスウィンドウの設定

ログの詳細🔗

メンテナンスタブ右側のログペインには、今後および過去のデバイスサービスメンテナンスが一覧表示されます。

今後の予定🔗

今後のテーブルには、サービスメンテナンスの名称、開始時刻、ステータス、延期状態などの詳細が表示されます。各メンテナンスは、行のチェックボックスを選択しメンテナンスを延期を選択することで、開始時刻を翌週に1回だけ延期できます。

今後のメンテナンスタスク

今後のメンテナンスのステータスは以下のいずれかです。

  • 保留中 — メンテナンスがスケジュールされています。
  • ダウンロード準備完了 — アップグレード用ファイルがダウンロードおよびステージング中です。
  • アップグレード準備完了 — ダウンロード済みファイルが正常にステージングされています。
  • アップグレード実行中 — メンテナンスが現在進行中です。
  • アップグレード実行中(再起動中) — メンテナンスファイルのインストール後、デバイスが再起動しています。

デバイスが再起動後30分以内にアクセスを回復しない場合は、製品サポートまでご連絡ください。

履歴🔗

履歴テーブルには、過去のデバイスサービスメンテナンスの記録が表示され、メンテナンス名、開始時刻、終了時刻、ステータスなどの情報が含まれます。メンテナンス履歴のステータスは以下の通りです。

  • 完了 — メンテナンスが正常に完了しました。
  • 失敗 — メンテナンスが正常に完了せず、デバイスは以前の状態にリストアされました。

失敗したメンテナンスはSecureworksが監視し、再スケジュール前に問題が解消されます。

メンテナンス履歴記録

メンテナンス通知🔗

XDRは、今後のメンテナンスについてユーザーにさまざまな方法で通知します。

メールおよびアプリ内通知🔗

ユーザープリファレンスの正常性の状態セクションにある今後のデータコレクターメンテナンスオプションを有効にすると、今後のメンテナンスについて全ユーザーにメールおよびXDRアプリ内通知で通知されます。

通知プリファレンスの設定

データコレクター詳細メンテナンスバナー🔗

メンテナンスがスケジュールされているデバイスには、残り時間や個別の通知設定に関わらず、データコレクター詳細ページに情報バナーが表示されます。

メンテナンス情報バナー

サービスメンテナンスに関するFAQ🔗

サービスメンテナンスとは何ですか?

サービスメンテナンスは、通常のソフトウェアアップデートを超える大規模な更新や変更を含みます。これには、デバイスの再起動が必要となる主要なオペレーティングシステムやカーネルのアップグレードが含まれる場合があります。システムには、事前チェックや自動ロールバック機能などの安全対策が組み込まれており、円滑かつ安全なメンテナンスを実現します。

サービスメンテナンスはどのくらいの頻度で行われますか?また、なぜメンテナンスウィンドウは毎週設定されているのですか?

サービスメンテナンスは毎週実施されるものではありません。毎週のメンテナンスウィンドウは、必要な場合に影響を最小限に抑えるための一貫した時間枠を提供するために設けられています。これは毎週メンテナンスが行われることを意味するのではなく、必要な際に利用できる時間枠が確保されていることを示します。

サービスメンテナンス中にログやイベントが失われるリスクはありますか?

メンテナンスプロセスには再起動が含まれる場合があり、これによりログの送信が中断される可能性があります。信頼性の高い配信方法を使用せずにログが送信されている場合、この間にログが失われるリスクがあります。ただし、TCPなどの信頼性の高い方法でログが送信されている場合、デバイスがオンラインに戻った後に送信アプリケーションが再送信を行うかどうかは、そのアプリケーションの動作に依存します。メンテナンス中のログの保持は、配信メカニズムと送信アプリケーションの挙動に大きく依存します。

今後のサービスメンテナンスイベントについて、どのように通知されますか?

ユーザープリファレンスの正常性の状態セクションで「今後のデータコレクターメンテナンス」アラートの受信を有効にしている場合、今後のサービスメンテナンスについて通知を受け取ることができます。この設定が有効な場合、スケジュールされたメンテナンスの1週間前から毎日メール通知が送信され、十分な準備期間が確保されます。

スケジュールされたサービスメンテナンス中に問題が発生した場合の安全対策は何ですか?

システムには、スケジュールされたサービスメンテナンス中のリスクを軽減するための複数の安全対策が組み込まれています。アップグレード開始前に、データコレクターは正常な状態であることを確認する事前チェックを実施します。メンテナンス中に重大な問題が発生した場合は、自動ロールバックが実行され、以前の安定バージョンに再起動します。まれにデバイスが応答しなくなった場合でも、他の問題発生時と同様にデバイスの状態が通知されます。

ファイルのダウンロード🔗

コレクターの詳細画面から、認証情報、.ISO、.OVAなど、コレクター用のすべての利用可能なファイルを表示・ダウンロードできます。アクションを選択し、コレクターファイルのダウンロードを選択してください。インストール手順へのリンクも用意されています。

コレクター名または説明の編集🔗

コレクター名や説明を変更するには、名前または説明の横にある編集アイコン()を選択し、変更内容を入力して保存を選択してください。

コレクター設定の編集🔗

注意

コレクターの編集にはテナント管理者である必要があります。

「READY」ステータスで稼働中かつ正常なXDR Collectorの一部設定パラメータを編集するには、アクションを選択し、コレクター設定の編集を選択してください。

重要

稼働中のXDR Collectorの設定を変更すると、デバイスが動作不能になるリスクがあります。設定変更が失敗した場合、XDR Collectorは可能な限り前の設定にロールバックを試みます。XDR Collectorの設定変更は、他の環境変更と同様に、お客様のリスクおよび変更管理ガイドラインに従い、十分な注意を払って実施してください。常にデバイスの再展開に備えておくことを推奨します。

コレクターの種類に応じた詳細は、AWSデータコレクターAzureデータコレクターGoogle Cloud Platform (GCP) データコレクター、またはオンプレミスデータコレクターをご参照ください。

コレクターの削除🔗

注意

XDRへのログイン権限がない場合は、権限を持つ方に手順の実施を依頼してください。また、Secureworks®担当者にご相談いただくことも可能です。

注意

コレクターの削除にはテナント管理者である必要があります。

コレクターを削除するには:

  1. Taegis Menuからインテグレーションにカーソルを合わせ、データコレクターを選択します。
  2. ページの表示形式に応じて、該当するサマリーカードまたはリストからコレクター名を選択し、コレクター詳細を開きます。
  3. アクションドロップダウンメニューから削除を選択します。
  4. コレクターの削除を確認します。

コレクター削除の確認