コンテンツにスキップ

TLS対応Syslog🔗

すべてのコレクターには、UDPポート514およびTCPポート601でリッスンするSyslogリスナーがプリインストールされています。さらに、TLS接続を介してSyslogトラフィックを送信できるSyslogリスナーを追加で設定することができます。

既存のXDR CollectorにTLS対応Syslogリスナーを追加する🔗

TLS対応Syslogアプリケーションのインストール

既存のTaegis™ XDR CollectorにTLS対応Syslogリスナーを追加するには、以下の手順に従ってください。

  1. Secureworks® Taegis™ XDRで、インテグレーション → データコレクターを選択します。
  2. サマリーカードビューからカードを選択するか、テーブルビューからTLS対応Syslogリスナーを追加したいコレクター名を選択します。
  3. アプリケーションセクションまでスクロールし、TLS対応Syslogのアクション列にあるギアアイコンを選択し、設定を選択します。
  4. ドロップダウンメニューからリッスンするTCPポートを選択します。

  5. PKCS12(または同等)の証明書をアップロードし、証明書のパスワードを入力します。

    注意

    TLS Syslogトラフィックの送信元ベンダーのドキュメントに従って証明書を生成してください。詳細は追加情報およびその他の考慮事項をご参照ください。

  6. 完了したら保存を選択します。

既存のTLS Syslog設定を編集する🔗

既存のTLS対応Syslogリスナーがある場合、リスニングポートの編集や既存証明書のアップロード・置換など、設定の変更が可能です。

設定パネルにアクセスするには、前述の手順に従ってください。

TLS対応Syslogアプリケーションの編集

既存のXDR CollectorからTLS対応Syslogリスナーを削除する🔗

  1. XDRで、インテグレーション → データコレクターを選択します。
  2. サマリーカードビューからカードを選択するか、テーブルビューからTLS対応Syslogリスナーを削除したいコレクター名を選択します(詳細はTLS対応Syslogコレクターの特定を参照)。

  3. アプリケーションセクションまでスクロールし、TLS対応Syslogのアクション列にあるギアアイコンを選択します。ドロップダウンメニューから削除を選択し、ポップアップダイアログで選択を確認します。

    TLS対応Syslogアプリケーションの削除

追加情報🔗

TLS対応Syslogコレクターの特定🔗

TLS対応Syslogが有効なコレクターは、コレクタービューのアプリケーションセクションで_インストール済み_ステータスが表示されます。

インストール済みアプリケーションの特定

サポートされているPKCS12ファイルの生成🔗

業界標準として、PKCS12ファイルはプライベートキーとそのX.509証明書、または信頼チェーンのすべてのメンバーをまとめるためによく使用されます。

PKCS12ファイルは、XDRで証明書のアップロードと自己管理を簡素化するために使用されます。

適切な証明書と関連するプライベートキーがあれば、openssl pkcs12コマンドを使用してバンドルされたPKCS12ファイルを生成できます。

🔗

openssl pkcs12 -export -out server.pkcs12 -inkey server.key -in server.pem -certfile root.pem

クラウドコレクターのポートアクセス許可🔗

2021年11月2日以前にプロビジョニングされたコレクターの場合、コレクターのクラウド環境に必要なファイアウォール(またはセキュリティグループ)ルールが設定されていない可能性があります。 アプリケーションのインストールを進める前に、クラウド環境で希望するTLS対応Syslogポート(5146514、または1470)へのインバウンドTCPルールを追加してください。 セキュリティグループの設定に関する詳細は、以下のリソースをご参照ください。

その他の考慮事項🔗

HAコレクター証明書の生成🔗

HAコレクターでTLS対応Syslogリスナーインテグレーションをインストールする場合、インテグレーションはすべてのインスタンスで実行され、アップロードされた証明書はすべてのインスタンスで共有されます。そのため、TLS対応Syslogリスナーにデータを送信するクライアントの設定方法を事前に計画することが重要です。ネットワークセキュリティ要件でエンドツーエンド暗号化が必要な場合は、クライアントがロードバランサーのVIPに解決されるホスト名を指すように設定し、TLS終端を行わないロードバランサーをHAコレクターの前に配置することを推奨します。この場合、Subjectがホスト名と一致する証明書を発行すれば十分です。その他の接続方法(IPアドレス経由など)を使用する場合は、Subject Alternate Nameにクライアントで使用するすべてのIPやホスト名の組み合わせが含まれていることを確認し、証明書が正しく検証されるようにしてください。

TLS対応Syslogリスナーのパフォーマンスオーバーヘッド🔗

他のTLS対応接続と同様に、TLS接続を介してSyslogリスナーにトラフィックを送信する場合、同等の非暗号化接続と比較して追加の起動時およびパケットごとのオーバーヘッドが発生します。そのため、標準の非暗号化Syslogインスタンスと比較して、TLS対応Syslogリスナーのピークスループットが若干低下することが予想されます。このオーバーヘッドや冗長な個別TCP接続を減らすために、Syslogクライアント設定で適切なKeepAlive構成モジュールの有効化を検討してください。

証明書の管理🔗

XDRのTLS対応Syslogリスナー設定時には、有効なPKCS12証明書が受け入れられます。証明書管理サービスは現時点ではサポートされていませんので、お客様自身でPKIインフラストラクチャを管理することを推奨します。

設定に関する注意事項🔗

XDRのTLS対応Syslogリスナーは、ほとんどの最新TLSプロトコルとの接続をサポートしています。非推奨のアルゴリズムはサポートされていません。SSLv3(またはそれ以前)およびTLS 1.1(またはそれ以前)はサポートされていません。