[Cortex XDR/XSIAM]Box のアクティビティログを取り込む

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
L4 Transporter
評価なし

この記事では、Boxのアクティビティログを取り込む方法について説明します。

 

詳細な手順や説明については、一番下のリンクからドキュメントを参照ください。

 

Cortex XDRはBoxからログを取り込み、XQLによるサーチやCorrelationルールによる検知などが可能です。

ここではBox Shields Alertsを除くデータの取り込みをおこないます。

 

 

 

Custom Appの作成

 

Custom Appの作成から、新規でAppを作成します。ここでは「Cortex XDR App」とします。

custom app.png

 

 

作成したAppから「Configuration」タブを指定し、「App + Enterprise Access」を選択します。

 

d-configure app.png

 

 

「Authorization」タブを指定し、「Review and Submit」を選択します。

 

e-authorization.png

 

「submit」をクリックして管理者に承認依頼します。

 

e-review.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

管理者はAdminコンソールにログインし、「Apps」から「Custom Apps Manager」タブを表示します。

このときAuthorizationがPending Authorizationになっています。

Enablement Statusから「Authorize App」をクリックすると完了します。

 

 

 

 

3-c-authorize.png

 

 

 

Authorizationが「Authorized」になり

Enablement Status「Enabled」が表示されることを確認します。

 

auth_status.png

 

 

Cortex XDRに登録するIDの確認

 

Cortex XDRの設定するID(Enterprise ID, Client ID, Client Secret)を控えておきます。

 

Enterprise ID

Global Settingsから確認します。

enterpriseid.png

 

Enterprise ID, Client Secret

ConfigurationからClient IDを確認します。 Client Secretを取得するためにFetch Client Secretをクリックします。

ClientID-1.png

 

 

生成されたClient Secretを控えておきます。

clientID-2.png

 

 

Cortex XDRの設定

 

Collection IntegrationsからBoxの箇所で「Add Instance」をクリックします。

 

控えておいたID, Secret、収集するイベントにチェックを入れます。

「test」ボタンをクリックし「Connection established」が表示されたら

連携が成功したことを示しているので、「Enabled」をクリックします。

 

cortex-settting-box.png

 

イベントが入ってくれば、XQLで検索することが可能です。

 

 

Tech Doc

Boxのログ取り込み方法はこちら

この記事を評価:
  • 1248 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 02:00 AM
更新者: