[Cortex XDR/XSIAM]サードパーティのセキュリティセンサーアラートを取り込む - Syslog Collector -

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

Cortex XDR/XSIAMは様々なセキュリティセンサー(IPS, IDS, Web Proxyなど)から出力されるセキュリティアラートを、

Cortex XDR/XSIAMのアラートとして取り込み、インシデントストーリーに組み込むことが可能です。

 

セキュリティアラートを取り込む方法は2つあります。

・Syslog Collector(Broker VM)を使用して取り込む

・APIを使用して取り込む

 

ここではSyslog Collectorを使用して取り込む方法について説明します。

セキュリティアラートはsyslog経由でSyslog Collectorに送信します。

 

アラートを取り込む

ここでは、以下のようなCEFフォーマットのアラートが送信されるものと想定しています。

アラートはBroker VMの514/UDPポート宛てに送信するものとします。

 

| Security device | --- (alerts) ---<514/UDP> -----> | Broker VM(syslog collector) | -----> | Cortex XDR |

 

<182>Nov 17 13:23:32 SecDevice CEF:0|Sec Company|Security Agent|21.0|4000000|malware detection|9|cn1=1 cn1Label=HostIP srcip=192.168.68.160 hostname=mailserver cn2=205 cn2Label=Block  filePath=C:\\Users\\ProgramData\\eicar_156.exe act=Block msg="Realtime Scan" MalwareTargetType=N/A MD5=275876e34cf609db118f3d84b799a790 SHA1=829c3804401b0727f70f73d4415e162400cbe57b SHA256=b5a2c96250612366ea272ffac6d9744aaf4b45aacd96aa7cfcb931ee3b558259

 

syslog collectorの設定

 

設定は以下の通りです。

CEFフォーマットのデータは自動的に検出されるので、

FORMAT、VENDOR, PRODUCTいずれもAuto-Detectとしています。

上記のアラートの場合、VENDORがSec Company、PRODUCTがSecurity Agentとして検出されます。

syslogcollector-setting.png

 

XQL,Dataset managementで取り込み確認する

実際取り込むと、データセットがsyslog collectorで自動検出されたVendor, Productの名前で生成されます。

dataset.png

 

XQLで確認するとアラートがログと同様に保存されていることがわかります。alert_xql.png

 

外部アラートをXDRのアラートにマッピングする

 

 External Mappingをクリックすると、

 Vendor、Productで名前が生成されています。

massaito_0-1700137545092.png

 

右クリックし、Filter and Mapをクリックします。

external_mapping_alert_2.png

 

必要に応じてフィルタリングすると条件に一致したアラートだけをCortex XDRのアラートとして設定することができます。

条件を設定したらNextをクリックします。

external_mapping_alert_3.png

 

Rule Informationで、Cortexのアラートと取り込んだアラートのフィールドをマッピングします。

アラートの名前、Timestamp、Severity、Alert Nameは必須のマッピング項目になっています。

rule_info.png

 

Timestampをマッピングする

まずTimestampに該当するフィールドをマッピングします。ここではCefTimestampを選択します。

上記のサンプルデータですとtimestamp(Nov 17 13:23:32)にあたるところです。

massaito_0-1700227944483.png

 

 

[TEST CONVERSION]をクリックし日付がエポックタイムに変換されることを確認します。

以下のスクリーンショットではMODIFIED VALUEがエポックタイム変換後の時間になります。

このエポックタイムはミリ秒で表現されています。

CURRENT VALUEが正しいフォーマットでない場合、TEST CONVERSIONに失敗するので、

失敗する場合はセキュリティセンサー側の日付フォーマットを確認してください。

massaito_1-1700228039730.png

 

Severityをマッピングする

次にSeverityをマッピングします。

massaito_2-1700228333604.png

 

Severityはセキュリティセンサーで与えられている情報を元に

Critical/High/Medium/Lowを定義してください。

 

以下の例では、Severityに入る値が1から10のどれかを入り、

1から3の場合Low、4から6の場合Medium、7から9の場合High、10の場合Criticalと想定しています。

サンプルデータではSeverityは9なので、アラートはHigh Severityとして生成されます。

massaito_3-1700228390028.png

 

 

Alert Nameをマッピングする

ここではをAlert NameにNameフィールドを使用します。

massaito_4-1700228687364.png

 

その他は以下のように設定しておきます。各フィールドは上記のサンプルデータのキー情報と対応しています。

massaito_8-1700229413845.png

 

Actionというフィールドの場合、Actionに該当するフィールドに入ってくる文字列に基づいて

検出のみ(ブロックしない)だったか、あるいはブロックしたのかを定義することが可能です。

カンマ区切りで複数の文字列を定義することが可能です。

 

以下では文字列がReportedだった場合Detected(Reported)として、

Blockだった場合Prevented(Blocked)として表示されます。

massaito_6-1700229299218.png

 

 設定を完了させると以下のようにマッピングの設定が表示されます。

massaito_9-1700229679383.png

 

アラートを発生させる

 設定を完了させると以下のようにマッピングの設定が表示されます。TAGにデータソースのVendor/Productが設定されます。

massaito_10-1700230248263.png

 

 続き

massaito_11-1700230311436.png

 

取り込んだアラートはCortex XDRの他のアラート同様インシデントに集約されます。

massaito_12-1700230461217.png

 

WildFire、VirusTotalでハッシュ値が評価されています。

massaito_13-1700230499625.png

 

 

Cortex XDR/XSIAMはサードパーティのセキュリティセンサーのトラフィックログを

AI/ML解析しアラートを発報しますが、外部のセキュリティセンサーのアラートも取り込み、

他のアラートを集約しインシデントとして脅威の攻撃ストーリーを構築するため、

より効率的に脅威の全体像を把握することが可能になります。

 

Tech Doc

セキュリティセンサーのアラートを取り込む方法はこちら

APIを使用したアラートの取り込みはこちらこちら

この記事を評価:
  • 1929 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-18-2023 05:03 AM
更新者: