Skip to main content

ユニバーサルフォワーダーとContrast Security ADRのインテグレーション(Northstar)

ユニバーサルフォワーダーは、特に専用の統合が利用できない場合に、Contrastをあらゆるセキュリティ情報/イベント管理(SIEM)システム、ログ分析ツール、セキュリティデータレイクなど、その他のセキュリティ運用プラットフォームと連携するための柔軟なソリューションを提供します。これにより、ユーザが独自のパーサーを作成できるようにすることで、公式にサポートされていないソリューションへの接続が可能になります。

仕組み

ユニバーサルフォワーダーは、イベントを送信するためのURL と、認証とメタデータのHTTPヘッダを指定することにで機能します。現在、Contrastではこのフォワーダーは攻撃イベントのみをサポートしています。一方、Northstarでは攻撃イベントとインシデントの両方をサポートしており、単一の設定で両方に対応できるという利便性を備えています。

Northstar, in contrast, supports both attack events and incidents, with the added convenience of using a single configuration for both.

開始する前に

  • お使いのSIEM、ログ分析、セキュリティデータレイク、その他のセキュリティ運用プラットフォームと正常に連携させるには、選択したソリューションの具体的な要件と技術仕様を理解することが重要です。

  • NorthstarNorthstar facilitates secure event collection primarily over HTTPs. Your platform must be configured to receive and process events transmitted via HTTPs.

  • 外部データを入力するために、お使いのプラットフォームで必要な認証について理解し、設定して下さい。これには、APIキー、トークン、証明書、その他の認証情報などが含まれます。安全なイベントの取り込みと認証プロトコルの詳細については、プラットフォームのドキュメントを参照してください。

観測データとインシデントの接続

Northstarでインテグレーションを設定し、観測データインシデントをアプリケーションに送信するようにします。

  1. イベントを受信するURLを選択します。

  2. Northstarでは、左側のナビゲーションで 管理 > インテグレーションを選択します。

  3. 「ADR連携」セクションでユニバーサルフォワーダーオプションを選択します。

  4. Under the Manage Credentials tab:

    1. Enter the URL under the Observations Configuration field, and enter the key and value information for the custom HTTP request headers. Add additional fields as needed.

      You can select the Use observation configuration for issues and incidents toggle to copy the configurations to the issues and incidents fields.

    2. Enter the URL under the Issues Configuration field, and enter the key and value information for the custom HTTP request headers. Add additional fields as needed.

    3. Enter the URL under the Incidents Configuration field, and enter the key and value information for the custom HTTP request headers. Add additional fields as needed.

    4. Select the Integration Enabled toggle to enable the integration. This setting allows you to temporarily disable the integration without losing your configuration

  6. Use the Advanced tab to select from the modes of data to send to the app:

    1. Select All Observations and incidents to send all attack event observations detected by agents, as well as incidents and issues associated with the incident. This is recommended for SOC practices seeking deep visibility into application runtime and are building their custom use cases.

    2. Select Incidents and only incident-related observations to send incidents, associated observations, and issues to Microsoft Sentinel. This is recommended for SOC practices that want to minimize the volume of data sent to their SIEM and only receive alerts for security incidents and related observations.

    Also, select the Map to a third-party schema (optional) option to choose how event data is formatted before it is sent to a destination.

  7. 保存を選択します。

  8. アプリケーションにアクセスし、イベントが受信されていることを確認します。

このセクションの内容: