ユニバーサルフォワーダーとContrast Security ADRのインテグレーション(Northstar)
ユニバーサルフォワーダーは、特に専用の統合が利用できない場合に、Contrastをあらゆるセキュリティ情報/イベント管理(SIEM)システム、ログ分析ツール、セキュリティデータレイクなど、その他のセキュリティ運用プラットフォームと連携するための柔軟なソリューションを提供します。これにより、ユーザが独自のパーサーを作成できるようにすることで、公式にサポートされていないソリューションへの接続が可能になります。
仕組み
ユニバーサルフォワーダーは、イベントを送信するためのURL と、認証とメタデータのHTTPヘッダを指定することにで機能します。現在、Contrastではこのフォワーダーは攻撃イベントのみをサポートしています。一方、Northstarでは攻撃イベントとインシデントの両方をサポートしており、単一の設定で両方に対応できるという利便性を備えています。
開始する前に
お使いのSIEM、ログ分析、セキュリティデータレイク、その他のセキュリティ運用プラットフォームと正常に連携させるには、選択したソリューションの具体的な要件と技術仕様を理解することが重要です。
Contrast/Northstarは、主にHTTPS経由で安全なイベント収集を実現します。プラットフォームは、HTTPS経由で送信されるイベントを受信して処理するように設定する必要があります。
外部データを入力するために、お使いのプラットフォームで必要な認証について理解し、設定して下さい。これには、APIキー、トークン、証明書、その他の認証情報などが含まれます。安全なイベントの取り込みと認証プロトコルの詳細については、プラットフォームのドキュメントを参照してください。
観測データとインシデントの接続
Northstarでインテグレーションを設定し、観測データとインシデントをアプリケーションに送信するようにします。
イベントを受信するURLを選択します。
Northstarでは、左側のナビゲーションで 管理 > インテグレーションを選択します。
「ADR連携」セクションでユニバーサルフォワーダーオプションを選択します。
「観測データの設定」フィールドにURLを入力し、「カスタムのHTTPリクエストヘッダ」のキーと値の情報を入力します。必要に応じてフィールドを追加します。
「インシデントの設定」フィールドにURLを入力し、「カスタムのHTTPリクエストヘッダ」のキーと値の情報を入力します。必要に応じてフィールドを追加します。
攻撃イベントと同じ設定を使用するトグルを選択すると、上記の設定をコピーできます。
保存を選択します。
アプリケーションにアクセスし、イベントが受信されていることを確認します。