コンテンツにスキップ

ログ保持🔗

概要🔗

Secureworks® Taegis™ XDRのログ保持ポリシーは、すべてのお客様に適用されます。デフォルトでは、すべてのお客様が12か月間のログ保持を利用でき、追加料金でさらに長い保持期間を選択することも可能です(データストレージのアップグレードを参照)。XDRは、取り込まれたすべてのクライアントデータをクラウド上のデータレイクに圧縮形式で保存します。これには、サポートされているエンドポイントエージェント(該当する場合)からのデータ、APIデータ(Office 365、AWS GuardDutyなど)、およびTaegis™ XDR Collectorに転送されたsyslogデータが含まれます。

Generic Syslogデータ🔗

XDRは、1つ以上のXDR Collectorを通じて受信したsyslogデータを保存します。これには、現在サポートされているソース(利用可能なインテグレーションを参照)から受信したが、当社のセキュリティスキーマのいずれにも正規化されていないイベントや、Secureworks Professional Servicesチームによって作成されたカスタムパーサーが含まれます。XDRは、サポートされていないsyslogソースからのデータも受け入れ、これらのイベントをGenericな形式で保存するため、XDR内で検索可能であり、必要に応じてレポートにも含めることができます(下記参照)。データがGenericイベントとして正規化された場合、それ以上は保存されませんが、すべての正規化されたイベントにはoriginal_dataフィールドに元の未加工メッセージが含まれています。

Genericテーブルに取り込まれ保存されるログのフォーマットはRFC-3164に準拠しています。以下はこのフォーマットの視覚的な例です1

RFC-3164 Genericテーブルフォーマットの例

Genericイベントはどのように生成されますか?🔗

サポートされていないsyslogソースはgenericスキーマにパースされます。サポートされていないソースには専用のパーサーが関連付けられていないため、すべてのイベントがGenericスキーマに正規化されます。Genericイベントの正規化とは、XDRがRFC-3164で指定されたフォーマットにデータをパースすることを意味します。サポートされていないソースからのすべてのGenericイベントは、引き続き検索、レポート作成、カスタムルール作成に利用できます。 サポートされていないsyslogを送信することで、これらのGenericイベントを検索やレポートに組み込むことが可能です。Genericスキーマを用いたカスタムルールの作成も可能です。例えば:

FROM generic WHERE ((sensor_type MATCHES 'MICROSOFT_WINDOWS_SNARE' AND original_data CONTAINS 'The audit log was cleared') AND original_data CONTAINS '1102')

注意

XDRは、Genericイベントとして正規化されていないデータのみを保存します。すべての正規化されたイベントには、original_dataフィールドに元の未加工メッセージが含まれています。詳細はFAQ: Genericイベントと正規化データをご参照ください。

注意

現時点では、Genericイベントは自動的に検知を生成せず、検知もこれらのイベントに対しては機能しません。現在サポートされていないセキュリティデバイスがsyslogデータを生成し、検知の生成や検知の実行が必要な場合は、カスタムパーサー作成のオプションについてSecureworks® Professional Services組織を通じてカスタマーサクセスマネージャー(CSM)までご連絡ください。

Syslogをどのように正規化しますか?🔗

RFC-3164では、パースのために以下の4つの必須要素が必要とされています:

  • PRI(優先度)値
  • タイムスタンプ
  • ホスト名
  • タグまたはPID(プロセスID)およびメッセージ内容を含むメッセージ

XDRは、これら必須要素の多様なバリエーションを正しくパースできます。例えば、ソースが正しくタイムスタンプ、ホスト名、またはメッセージ内容を表示していない場合は、上記の図を参照し、生成されているイベントのフォーマットと比較してください。GenericイベントがXDRに取り込まれ正規化されるよう、syslogフォーマットの設定を若干変更する必要がある場合があります。

保持期間🔗

デフォルトで、すべてのお客様はXDRデータレイク内で12か月間の保持が可能です。お客様は最大48か月の延長保持を購入でき、合計で60か月の保持が可能です。より長い保持期間の購入をご希望の場合は、アカウント担当者までご連絡ください。

データストレージ容量🔗

XDRのお客様には、組織が選択したデータ容量サブスクリプション(StandardまたはUpgraded)に基づいてデータストレージ容量が割り当てられます。デフォルトではStandardデータ容量が適用されます。Standardのデータ許容量は、契約済みエンドポイント数に4 GB/月を乗じて算出されます。例えば、契約エンドポイント数が500の場合、月間の合計データ上限は500 * 4 GB = 2000 GBとなります。追加のデータストレージ容量が必要なお客様は、Upgradedサブスクリプションを購入することで、エンドポイントごとに1か月あたり20 GBまで利用可能です。詳細については営業担当者までお問い合わせください。

保存データ容量はどのように計算されますか?🔗

XDRは、保存データ量をもとに、月間ログ保持容量を月間ログ保持許容量と比較して計算します。XDRデータレイク内に保存されているすべてのデータは、月間プランで許可された合計容量にカウントされます。これには、サポートされているエンドポイントエージェント、APIデータ、保存されたsyslogデータが含まれます。保存データはすべて圧縮形式で保存され、データ利用量は圧縮データの形式で計算されます。

データストレージのアップグレード🔗

お客様のデータストレージ容量がStandard許容量を超えた場合、データ容量サブスクリプションのアップグレードに追加料金が発生する場合があります。データ容量許容量を超えても、保存済みデータの損失やデータ取り込みの中断は発生しません。アップグレード料金は自動的には適用されません。お客様のデータ使用量を割り当て容量と比較して追跡し、アップグレードの検討が必要な場合に通知する機能のリリース後、データ容量サブスクリプションのアップグレードに関する具体的なガイドラインと手順が提供される予定です。

  1. Seq Blog