NDRデバイスの管理

注意

Taegis NDRはiSensorの進化版であり、新しい名称とまもなく拡張される機能を備えています。この移行期間中、一部でiSensorのブランド名が参照されている場合があります。

Taegis™ NDRの詳細については、Taegis™ NDRの概要をご覧ください。

お客様の組織で現在連携されているTaegis™ NDR Deviceの一覧表示、正常性の監視、ルールや登録の管理を行うには、Taegis Menuからネットワークを選択してください。

このページでは、お客様の組織で設定されているNDR Deviceがサマリーカードまたはテーブルビューで表示されます。

NDR Deviceの管理

ページビューの切り替え

ページ上部のボタンを使用して、NDRのサマリーカードビューとリストビューを切り替えることができます。

NDRビューの切り替え

NDR Deviceのステータスと正常性の確認

NDRページでは、各NDR Deviceの現在のステータスや最近のアクティビティについて、クイックビュー情報が表示されます。

• 正常性ステータス ー NDR Deviceの現在の正常性の状態：

正常性ステータス	説明
正常	すべてのNDR Deviceの正常性メトリクスが正常として報告されています。
警告	すべてのNDR Deviceの正常性の状態は報告されていますが、少なくとも1つに問題が発生しています。
データなし	NDR Deviceの正常性の状態メトリクスが受信されなくなりました。
NOT REGISTERED	NDR Deviceはまだ展開されていません。

• モード ー 現在のNDR Deviceのトラフィック処理モード。詳細はトラフィック処理モードをご覧ください。

モード	説明
INLINE ACTIVE	NDR Deviceはトラフィックを通過させ、アラートが発生した場合はトラフィックをブロックします。
INLINE PASSIVE	NDR Deviceはトラフィックを通過させ、アラートが発生してもトラフィックをブロックしません。
SNIFFER	NDR Deviceはトラフィックを検査しますが、トラフィックはNDR Deviceを通過しません。

• ルールセット ー バージョン付きでNDR Deviceに設定されている現在のルールセット。詳細はシグネチャセットをご覧ください。

ルールセット	説明
Connectivity	このルールセットは、セキュリティ制御よりもデバイスのパフォーマンスを優先するよう設計されています。
Security	このルールセットは、デバイスのパフォーマンスよりもセキュリティ制御を優先するよう設計されています。
Balanced	このルールセットは、セキュリティ要件とパフォーマンス特性のバランスを取るよう設計されています。

ヒント

テナント内の各NDR Deviceに対して行われたシグネチャおよびルールセットの更新に関する詳細情報は、NDR変更管理レポートを実行してください。詳細はTaegis™ NDR変更管理レポートをご覧ください。

詳細なNDR Device情報の表示

サマリーカードビューのカード、またはリストビューのNDR Device名を選択すると、NDR Deviceの追加詳細が表示されます。

詳細なNDR Device情報

注意

NDR Deviceに変更を加えるには、テナント管理者である必要があります。

重要

稼働中のNDR Deviceの設定を変更する場合、NDR Deviceが動作不能になったり、ネットワーク上の特定のトラフィックが許可またはブロックされるリスクがあります。 設定変更が失敗した場合、NDR Deviceは可能な限り前の設定にロールバックしようとします。NDR Deviceの設定変更は、お客様のリスクおよび変更管理ガイドラインに従い、他の環境変更と同等の注意を払って実施してください。常にデバイスの再展開に備えておくことを推奨します。

詳細

上部セクションには、NDR Deviceに関する以下の詳細が表示されます。各項目のリンクを選択すると、詳細情報が表示されます。

• 名前
• IPアドレス
• 正常性ステータス
• モード
• ルールセット
• デバイスで定義されたHOME_NET（編集方法はHOME_NETの編集を参照）
• デバイスで定義されたEXTERNAL_NET（編集方法はEXTERNAL_NETの編集を参照）
• デバイスで定義されたHTTP_PORTS（編集方法はHTTP_PORTSの編集を参照）

注意

HOME_NET、EXTERNAL_NET、HTTP_PORTSの値を更新するには、以下のセクションをご覧ください。その他のNDR Device設定（名前やIPアドレスなど）の変更については、サポートまでご連絡ください。

HOME_NETの編集

NDR Deviceで定義されたHOME_NETを編集するには、以下の手順に従ってください。

1. Edit HOME_NETの鉛筆アイコンを選択します。Edit HOME_NETサイドドロワーが表示されます。
2. Add Rowを選択し、新しいIPアドレスまたは範囲を入力します。不正な形式の場合は赤色で表示されます。
3. チェックボックスで1つ以上の行を選択し、Delete Rowsを選択してエントリを削除します。
4. 完了したらSaveを選択し、NDR Deviceの詳細に戻ります。
5. 更新が完了すると、ルール展開のステータスがメッセージで表示されます。More Informationを選択すると、結果の詳細を確認できます。

HOME_NETの編集

EXTERNAL_NETの編集

NDR Deviceで定義されたEXTERNAL_NETを編集するには、以下の手順に従ってください。

1. Edit EXTERNAL_NETの鉛筆アイコンを選択します。Edit EXTERNAL_NETサイドドロワーが表示されます。

2. 以下のいずれかのオプションを選択します。

   • Any ー すべてのソースからのトラフィック
   • !$HOME_NET ー HOME_NETで定義されていないすべてのソースからのトラフィック（従来の構成）
   • List ー カスタマイズしたソースリストからのトラフィック

3. Listオプションを選択した場合：

   • Add Rowを選択し、新しいIPアドレスまたは範囲を入力します。不正な形式の場合は赤色で表示されます。
   • チェックボックスで1つ以上の行を選択し、Delete Rowsを選択してエントリを削除します。

4. 完了したらSaveを選択し、NDR Deviceの詳細に戻ります。

5. 更新が完了すると、ルール展開のステータスがメッセージで表示されます。More Informationを選択すると、結果の詳細を確認できます。

EXTERNAL_NETの編集

HTTP_PORTSの編集

NDR Deviceで定義されたHTTP_PORTSを編集するには、以下の手順に従ってください。

1. Edit HTTP_PORTSの鉛筆アイコンを選択します。Edit HTTP_PORTSサイドドロワーが表示されます。
2. Add Rowを選択し、新しいポート番号を入力します。不正な形式の場合は赤色で表示されます。
3. チェックボックスで1つ以上の行を選択し、Delete Rowsを選択してエントリを削除します。
4. 完了したらSaveを選択し、NDR Deviceの詳細に戻ります。
5. 更新が完了すると、ルール展開のステータスがメッセージで表示されます。More Informationを選択すると、結果の詳細を確認できます。

HTTP_PORTSの編集

AllowおよびBlockタブ

AllowおよびBlockタブには、NDR Deviceで設定されているファイアウォールルールの一覧が表示されます。Allowルールはトラフィックを許可し、Blockルールはトラフィックをブロックします。

アクション

リストから1つ以上のルールを選択し、Actionsメニューから選択したルールをDeleteまたはExport to CSVできます。

NDR Device Allow/Blockアクション

AllowまたはBlockの追加

NDR Deviceに新しいAllowまたはBlockルールを追加するには：

1. Add AllowまたはAdd Blockを選択します。Add Allow/Block Ruleフォームが表示されます。

   

   NDR Device Blockルールの追加

2. 少なくとも1つのソースまたは宛先アドレスまたは範囲を入力します。

3. Ports are Destinationチェックボックスはデフォルトで選択されています。ルールのポート定義がソースポートの場合は、このオプションのチェックを外してください。
4. ルールのポートを指定します：すべて（デフォルト）、単一ポート、範囲、またはカンマ区切りの複数ポート。
5. 希望するプロトコルを選択するか、デフォルトのすべてのプロトコルのままにします。
6. ルールの有効期間を選択するか、デフォルトの常時有効のままにします。
7. Deploy Ruleを選択してルールを保存し、NDR Deviceへの展開を試みます。

Bypassタブ

Bypassタブを使用して、指定したネットワークトラフィックに対してNDR Deviceがインスペクションエンジンをバイパスするファイアウォールルールを設定できます。バイパスルールに一致した場合、デバイスはトラフィックをセキュリティエンジンで検査やブロックをせずに転送します。

バックアップや監視システムなど、信頼できるまたは大量のトラフィックをインスペクション対象から除外するためにバイパスルールを作成します。これによりパフォーマンスが向上し、不要な検知が減少します。

アクション

リストから1つ以上のルールを選択し、Actionsメニューから選択したバイパスルールをDeleteまたはExport to CSVできます。

NDR Device Bypassアクション

バイパスルールの追加

NDR Deviceに新しいバイパスルールを追加するには、以下の手順に従ってください。

1. Add Bypassをクリックします。Add Bypass Ruleフォームが表示されます。

   

   NDR Device Bypassルールの追加

2. 少なくとも1つのソースまたは宛先アドレスまたは範囲を入力します。

3. 宛先ポートを指定する場合はPorts are Destinationチェックボックスを選択したままにします。ソースポートを指定する場合はチェックを外してください。
4. ルールのポートを指定します：すべて（デフォルト）、単一ポート、範囲、またはカンマ区切りの複数ポート。
5. 希望するプロトコルを選択するか、デフォルト（すべてのプロトコル）のままにします。
6. ルールの有効期間を選択するか、デフォルトの常時有効のままにします。
7. Deploy Ruleを選択してバイパスルールを保存・展開します。

注意

バイパスルールはAllowおよびBlockルールよりも優先されます。トラフィックがバイパスルールに一致した場合、デバイスは他のファイアウォールルールに関係なく、そのトラフィックを検査・ブロックしません。

登録タブ

登録タブには、現在の登録キーとそのステータスが表示されます。

アクション

• キーが期限切れの場合、ActionsメニューからReactivate Keyを選択して、このNDR Deviceでキーを再有効化できます。
• ActionsメニューからDownloadsを選択し、NDR Deviceで使用されているオープンソースファイルや、仮想デバイスの場合はセットアップ用の仮想デバイスをダウンロードできます。

NDR Device登録アクション

正常性タブ

NDR Deviceの正常性タブでは、デバイスの正常性に関する情報が提供されます。この情報は、NDR Deviceから時間をかけて収集された統計として、UPまたはDOWNのステータスで表示されます。DOWNの場合、Information列に説明文が表示されます。

タブ上部のEvent Flowセクションには、デバイスから最後に受信したセキュリティイベントおよび非セキュリティイベントの時刻が表示されます。

正常性タブ

ヘルスチェック	説明
Heartbeat Status	NDR Deviceからバックエンドへの接続性をチェックします。TelegrafのヘルスメトリクススクリプトはTrue信号のみを送信します。
AttackerDB Feed status	Watchlist更新プロセスの正常性を監視します。スクリプトは/etc/cron.d/wl.cronファイルを確認し、watchlist cronが存在し正しい形式かを検証します。/secureworks/log/sw-wl.logの更新日時から、watchlist更新の最終実行時刻を確認します。cronが無効な形式、または最終更新が72時間以上前の場合、DOWNステータスを送信します。
Disk Usage	NDR Deviceのディスク使用率を監視します。いずれかのパーティションの使用率が閾値を超えた場合、DOWNステータスを送信します。スクリプトはawk '$1~/^\\/dev\\//&& !c[$1]++||$1!~/^\\/dev\\//' /proc/mountsでパーティションリストを取得し、df -kPとdf -iPでディスク・inode使用率を収集します。POSIX非対応の場合はdf -kとstat -c 'FS,%d,%c' -fを使用。使用率またはinode使用率が95%以上の場合、DOWNステータスを送信します。
RCMS Service Status	RCMSは、事前定義されたbashまたはperlスクリプトを通じてデバイスをリモート管理します。PCSMSと連携してsnortルールセットやカスタマイズをデバイスに展開します。netstat -ptan | grep iRCMSMQRcvd | grep ESTABLISHED | wc -lでRCMS MQサーバーへの接続数を取得。接続がない、または複数ある場合、DOWNステータスを送信します。
RAID Status	物理ディスクと論理ディスクのRAID情報を収集し、NDR DeviceのRAID構成が最適でない場合にアラートを発します。仮想ディスクはomreport storage vdisk | command egrep -i '^ID|^status|^State|^Layout'、物理ディスクはomreport storage pdisk controller=0 | command egrep -i '^ID|^Status|^State'で取得。R6XXハードウェアモデルのみ対象。仮想ドライブが存在しない、RAID-1でない、Ready状態でない、ドライブが不足している、またはOnline/Okでない場合、DOWNステータスを送信します。
NDR Policy Status	対応するNDR Deviceでsw.rulesがsnort-rulesに含まれていない、またはsw.rulesファイルが更新されていない場合にアラートを発します。/secureworks/cm/ipsrules7/snort/snort-rulesでsw.rulesの有無を確認し、/secureworks/cm/ipsrules7/snort/rules/sw.rulesの最終更新日時をstat -c "%Y"で取得。snortに含まれていない、または28日以上前の場合、DOWNステータスを送信します。
Read-Only Filesystem Status	NDR Deviceのいずれかのディスクパーティションが読み取り専用でマウントされているか監視します。少なくとも1つが読み取り専用の場合、DOWNステータスを送信します。awk '$1~/^\\/dev\\//&& !c[$1]++||$1!~/^\\/dev\\//' /proc/mountsでパーティションとマウントオプションを取得し、/etc/fstabでro指定のものは除外します。
CPU Utilization	NDR Deviceの平均CPU使用率を監視します。平均CPU使用率が閾値を超えた場合、DOWNステータスを送信します。/proc/statの出力を短時間間隔で取得し、jiffies（x86システムで1/100秒）単位で各モードの時間を測定。2秒間隔での差分から最近の使用率を算出。 awk '/cpu /' /proc/stat; sleep 2; awk '/cpu /' /proc/stat cpu 408944292 30628 131584823 2299538736 312920 135090540 496720 0 0 0 cpu 408944506 30628 131584898 2299539950 312920 135090606 496720 0 0 0 4番目の値がアイドル時間で、残りの合計がCPU使用率。80%以上の場合、DOWNステータスを送信します。
Dell OpenManage Status	Dell omreportコマンドでハードウェアの正常性を監視します。Dellハードウェアかつomreportインストール済みが対象。/opt/dell/srvadmin/bin/omreport chassis -fmt ssvで各ハードウェアコンポーネントの重大度を取得。Fans、Intrusion、Memory、Power Supplies、Power Management、Processors、Temperatures、Voltages、Hardware Log、Batteriesを確認。その他のコンポーネントが検出された場合、DOWNステータスを送信。Memoryの重大度がOKまたはUNKNOWN以外の場合もDOWNステータスを送信します。
NDR Management Redundancy	NDR DeviceはSecureworks VPNインフラへの冗長接続（tun0とtun1）を持ちます（Dual Data Center: DDC）。どちらかがダウンしてもバックエンドとの通信は可能ですが、冗長性が失われます。ip -s linkでインターフェースの状態を取得し、tun0またはtun1がダウンの場合、DOWNステータスを送信します。
NDR Snort Status	NDR Deviceのパケットインスペクション機能をチェックします。未稼働の場合、モニターモードのNDR Deviceはサービス停止、インラインのNDR Deviceは完全停止となります。IPSプロセス（snort）の状態をsvstat /service/ipsで確認し、稼働時間が300秒未満ならis_flappingと判定。未稼働またはis_flappingの場合、DOWNステータスを送信します。
Certificate Status	NDR Device証明書（/secureworks/certs/Certificate.pem）の有効期限をチェックします。有効期限が72時間以内の場合、DOWNステータスを送信します。
NDR Syslog Health	syslogプロセスの状態をチェックします。pidofコマンドでサービス稼働を確認。syslogdが稼働していない場合はrsyslogdを確認。ps -C rsyslogd -o lstart=でサービスの稼働時間（秒）を算出し、300秒未満ならis_flappingと判定。未稼働またはis_flappingの場合、DOWNステータスを送信します。
Time Offset Status	NTPサーバーとデバイス間の時刻同期を監視します。閾値を超える時刻差がある場合にアラートを発します。v9のNDR Deviceではchronydを使用。chronydサービスが稼働しているか、システム時刻のオフセットが15秒未満かを確認し、いずれかでDOWNステータスを送信します。
Telegraf Config Status	Telegraf設定更新の定期プロセスが正常に稼働し、適用バージョンが最新かをチェックします。/secureworks/log/sw-health-conf-check.logの更新日時が6時間以内でなければ、定期プロセスは稼働していません。S3上の最新バージョンは/var/telegraf/configs/latest_version_on_s3に保存され、/var/telegraf/etcのシンボリックリンクと一致しない場合、適用バージョンは最新でありません。いずれかの場合、DOWNステータスを送信します。
Duplicate Host Status	ネットワーク上でNDR Deviceと同じIPアドレスを持つホストが見つかった場合、ステータスに表示されます。
NDR Acme Agent Status	AcmeはNDR Deviceへのアクセスを提供します。このアラートはNDR Device上のAcmeエージェントの状態を示します。
NDR Log Upload Status	Log UploadサービスはNDR Deviceからログをデータレイクに送信します。このアラートはNDR Device上のLog Uploadの状態を示します。

チャートタブ

NDR Deviceのチャートタブでは、以下の主要なデバイスパフォーマンス指標の可視化が提供されます。

• メモリ使用率
• CPU使用率
• ディスク使用率
• ネットワークインターフェースエラー
• ネットワークインターフェースパケット
• ネットワークインターフェーススループット

チャートタブ - メモリ使用率

利用可能なオプション：

• タブ左側のドロップダウンメニューから表示したいチャートの種類を選択
• タブ右側の日付範囲ピッカーでチャートの範囲を調整
• チャートや凡例上のデータポイントにカーソルを合わせて詳細を表示
• 凡例の項目を選択・解除してチャートを調整
• Actionsメニューからチャートを.pngファイルとしてダウンロード

メンテナンスタブ

NDR Deviceのメンテナンスタブでは、今後および完了済みのサービスメンテナンス情報が表示され、今後のメンテナンスに合わせてメンテナンスウィンドウを設定できます。

サービスメンテナンスは、NDR Deviceのソフトウェアアップデートを伴い、ネットワーク上のトラフィックフローにごく短い中断が発生する場合があります。すべてのソフトウェアアップデート（小規模なサービスメンテナンスおよび再起動を伴うまれな大規模システムアップグレードの両方）がここに表示され、内容の詳細な説明が提供されます。

重要

影響が最小限となる時間帯、かつ潜在的な問題に対応できる時間帯にメンテナンスウィンドウを設定することを推奨します。

NDR Deviceメンテナンスタブ

メンテナンスウィンドウの設定

メンテナンスタブ左側のメンテナンスウィンドウペインで、サービスメンテナンスの希望ウィンドウを指定できます。このペインでは、個別にカスタマイズしていないすべてのNDR Deviceに適用されるデフォルト値も設定できます。メンテナンスウィンドウを送信するには：

1. ドロップダウンメニューからサービスメンテナンスの希望曜日を選択します。
2. UTCで希望の開始時刻を選択します。
3. 希望の継続時間を選択します。

4. このウィンドウ定義をすべてのNDRアプライアンスのデフォルトにする場合は、Make this your default for all NDR Appliances.のボックスを選択します。

   注意

   以前にカスタマイズしたデバイスがある場合、このデフォルト値はそれらの設定を上書きしません。

5. Submit Updateを選択します。

これらの設定はいつでも変更可能です。ただし、これはまだスケジュールされていない変更にのみ適用されます。すでにスケジュールされたメンテナンスには影響しません。デバイスがスケジュールされたメンテナンス期間中に正常でない、またはアクセスできない場合、メンテナンスは実施されません。

NDR Deviceメンテナンスペイン

ログ

Upcomingログテーブルには、今後のサービスメンテナンスの名前、開始時刻、正常性ステータス、延期状態などの詳細が表示されます。各メンテナンスは、行のチェックボックスを選択しDefer Maintenanceを選択することで一度だけ延期できます。この操作により、メンテナンスウィンドウペインで設定された曜日に基づき、開始時刻が次の利用可能なメンテナンスウィンドウに延期されます。

NDR Deviceメンテナンスログペイン

たとえば、前のセクションのスクリーンショットでは、毎週金曜日15:00:00 UTCにウィンドウが設定されており、上記のメンテナンスログでは2024-10-18T15:00:00にメンテナンスが予定されています。これを延期すると、次週の2024-10-25T15:00:00に移動します。

延期前にメンテナンスウィンドウペインの曜日を火曜日15:00:00 UTCに変更した場合、延期後のウィンドウは1週間未満となり、2024-10-22T15:00:00にスケジュールされます。これはデバイスにとって次の利用可能なメンテナンスウィンドウとなるためです。

今後のメンテナンスのステータスは以下のいずれかです。

• New ー メンテナンスがスケジュールされています。
• Rescheduled ー お客様の操作で延期された、または元の予定時刻に実施できなかったメンテナンスイベントです。再スケジュールされたため、再度延期はできません。

Historyログテーブルには、過去のデバイスサービスメンテナンスの記録が表示され、メンテナンス名、開始時刻、終了時刻、ステータスなどの情報が含まれます。履歴のステータスは以下のいずれかです。

• Complete ー メンテナンスが正常に完了しました。
• Failed ー メンテナンスが失敗し、デバイスは以前の状態にリストアされました。失敗したメンテナンスはSecureworksが監視し、再スケジュール前に障害を解消します。
• Cancelled ー Deferボタンで延期された、またはSecureworksによってイベントがキャンセルされました。

メンテナンス通知

XDRは、さまざまな方法で今後のメンテナンスをユーザーに通知します。

• Emailおよびアプリ内通知 ー 通知設定の正常性ステータスセクションにあるUpcoming NDR appliance maintenanceオプションを有効にすると、すべてのユーザーに今後のメンテナンスについてメールおよびXDRアプリ内通知が送信されます。
• NDR詳細メンテナンスバナー ー スケジュールされたメンテナンスがあるデバイスには、残り時間や個別の通知設定に関係なく、NDR詳細ページに情報バナーが表示されます。

NDR Deviceメンテナンスバナー

サービスメンテナンスFAQ

サービスメンテナンスとは何ですか？

サービスメンテナンスは、お客様のNDR Device上のソフトウェアのアップグレードを伴います。通常はソフトウェアのマイナーバージョンアップグレードですが、まれにOSレベルのアップデートや再起動が必要な場合もあります。再起動が必要なメンテナンスは特に明記されますが、これは稀です。

サービスメンテナンスはどのくらいの頻度で行われ、なぜメンテナンスウィンドウは毎週設定されているのですか？

サービスメンテナンスは毎週実施されるものではありません。毎週のメンテナンスウィンドウは、必要な場合に影響を最小限に抑えるための一貫した時間枠を提供するために設けられています。毎週メンテナンスが行われることを意味するのではなく、必要な際に利用できる時間枠が確保されているということです。

サービスメンテナンス中にネットワーク中断のリスクはありますか？

一部のメンテナンスアップデートには、ネットワークトラフィックの読み取りや解析に使用されるソフトウェアの更新が含まれます。これらのコンポーネントは、新しいソフトウェアを有効にするために再起動が必要な場合があります。再起動中はネットワークトラフィックを迂回させて中断が発生しないよう最大限努力しますが、短時間の「ブリップ」が発生する場合があります。

今後のサービスメンテナンスイベントについてはどのように通知されますか？

通知設定の正常性ステータスセクションでUpcoming NDR appliance maintenanceを受信するように設定している場合、今後のサービスメンテナンスについて通知が届きます。この設定が有効な場合、スケジュールされたメンテナンスの1週間前からメール通知が送信され、十分な準備時間が確保されます。

スケジュールされたサービスメンテナンス中に問題が発生した場合の安全策は何ですか？

当社のシステムは、スケジュールされたサービスメンテナンス中のリスクを軽減するために複数の安全対策を備えています。各デバイスには事前チェックがあり、正常な状態であることを確認します。メンテナンス中に重大な問題が発生した場合は自動ロールバックが実行される設計です。まれにデバイスが応答しなくなった場合でも、他の障害時と同様にデバイスの状態が通知されます。