Cortex XDR/XSIAMは様々なセキュリティセンサー（IPS, IDS, Web Proxyなど）から出力されるセキュリティアラートを、

Cortex XDR/XSIAMのアラートとして取り込み、インシデントストーリーに組み込むことが可能です。

セキュリティアラートを取り込む方法は２つあります。

・Syslog Collector(Broker VM)を使用して取り込む

・APIを使用して取り込む

ここではSyslog Collectorを使用して取り込む方法について説明します。

セキュリティアラートはsyslog経由でSyslog Collectorに送信します。

アラートを取り込む

ここでは、以下のようなCEFフォーマットのアラートが送信されるものと想定しています。

アラートはBroker VMの514/UDPポート宛てに送信するものとします。

| Security device | --- (alerts) ---<514/UDP> -----> | Broker VM(syslog collector) | -----> | Cortex XDR |

<182>Nov 17 13:23:32 SecDevice CEF:0|Sec Company|Security Agent|21.0|4000000|malware detection|9|cn1=1 cn1Label=HostIP srcip=192.168.68.160 hostname=mailserver cn2=205 cn2Label=Block  filePath=C:\\Users\\ProgramData\\eicar_156.exe act=Block msg="Realtime Scan" MalwareTargetType=N/A MD5=275876e34cf609db118f3d84b799a790 SHA1=829c3804401b0727f70f73d4415e162400cbe57b SHA256=b5a2c96250612366ea272ffac6d9744aaf4b45aacd96aa7cfcb931ee3b558259

syslog collectorの設定

設定は以下の通りです。

CEFフォーマットのデータは自動的に検出されるので、

FORMAT、VENDOR, PRODUCTいずれもAuto-Detectとしています。

上記のアラートの場合、VENDORがSec Company、PRODUCTがSecurity Agentとして検出されます。

XQL,Dataset managementで取り込み確認する

実際取り込むと、データセットがsyslog collectorで自動検出されたVendor, Productの名前で生成されます。

XQLで確認するとアラートがログと同様に保存されていることがわかります。

外部アラートをXDRのアラートにマッピングする

 External Mappingをクリックすると、

 Vendor、Productで名前が生成されています。

右クリックし、Filter and Mapをクリックします。

必要に応じてフィルタリングすると条件に一致したアラートだけをCortex XDRのアラートとして設定することができます。

条件を設定したらNextをクリックします。

Rule Informationで、Cortexのアラートと取り込んだアラートのフィールドをマッピングします。

アラートの名前、Timestamp、Severity、Alert Nameは必須のマッピング項目になっています。

Timestampをマッピングする

まずTimestampに該当するフィールドをマッピングします。ここではCefTimestampを選択します。

上記のサンプルデータですとtimestamp(Nov 17 13:23:32)にあたるところです。

[TEST CONVERSION]をクリックし日付がエポックタイムに変換されることを確認します。

以下のスクリーンショットではMODIFIED VALUEがエポックタイム変換後の時間になります。

このエポックタイムはミリ秒で表現されています。

CURRENT VALUEが正しいフォーマットでない場合、TEST CONVERSIONに失敗するので、

失敗する場合はセキュリティセンサー側の日付フォーマットを確認してください。

Severityをマッピングする

次にSeverityをマッピングします。

Severityはセキュリティセンサーで与えられている情報を元に

Critical/High/Medium/Lowを定義してください。

以下の例では、Severityに入る値が1から10のどれかを入り、

1から3の場合Low、4から6の場合Medium、7から9の場合High、10の場合Criticalと想定しています。

サンプルデータではSeverityは9なので、アラートはHigh Severityとして生成されます。

Alert Nameをマッピングする

ここではをAlert NameにNameフィールドを使用します。

その他は以下のように設定しておきます。各フィールドは上記のサンプルデータのキー情報と対応しています。

Actionというフィールドの場合、Actionに該当するフィールドに入ってくる文字列に基づいて

検出のみ(ブロックしない)だったか、あるいはブロックしたのかを定義することが可能です。

カンマ区切りで複数の文字列を定義することが可能です。

以下では文字列がReportedだった場合Detected(Reported)として、

Blockだった場合Prevented(Blocked)として表示されます。

 設定を完了させると以下のようにマッピングの設定が表示されます。

アラートを発生させる

 設定を完了させると以下のようにマッピングの設定が表示されます。TAGにデータソースのVendor/Productが設定されます。

 続き

取り込んだアラートはCortex XDRの他のアラート同様インシデントに集約されます。

WildFire、VirusTotalでハッシュ値が評価されています。

Cortex XDR/XSIAMはサードパーティのセキュリティセンサーのトラフィックログを

AI/ML解析しアラートを発報しますが、外部のセキュリティセンサーのアラートも取り込み、

他のアラートを集約しインシデントとして脅威の攻撃ストーリーを構築するため、

より効率的に脅威の全体像を把握することが可能になります。

Tech Doc

セキュリティセンサーのアラートを取り込む方法はこちら

APIを使用したアラートの取り込みはこちらとこちら