Skip to main content

ユニバーサルフォワーダーとContrast Security ADRのインテグレーション

ユニバーサルフォワーダーは、特に専用の統合が利用できない場合に、Contrastをあらゆるセキュリティ情報/イベント管理(SIEM)システム、ログ分析ツール、セキュリティデータレイクなど、その他のセキュリティ運用プラットフォームと連携するための柔軟なソリューションを提供します。これにより、ユーザが独自のパーサーを作成できるようにすることで、公式にサポートされていないソリューションへの接続が可能になります。

仕組み

ユニバーサルフォワーダーは、イベントを送信するためのURL と、認証とメタデータのHTTPヘッダを指定することにで機能します。現在、Contrastではこのフォワーダーは攻撃イベントのみをサポートしています。一方、Northstarでは攻撃イベントとインシデントの両方をサポートしており、単一の設定で両方に対応できるという利便性を備えています。

開始する前に

  • お使いのSIEM、ログ分析、セキュリティデータレイク、その他のセキュリティ運用プラットフォームと正常に連携させるには、選択したソリューションの具体的な要件と技術仕様を理解することが重要です。

  • Contrast/Northstarは、主にHTTPS経由で安全なイベント収集を実現します。プラットフォームは、HTTPS経由で送信されるイベントを受信して処理するように設定する必要があります。

  • 外部データを入力するために、お使いのプラットフォームで必要な認証について理解し、設定して下さい。これには、APIキー、トークン、証明書、その他の認証情報などが含まれます。安全なイベントの取り込みと認証プロトコルの詳細については、プラットフォームのドキュメントを参照してください。

攻撃イベントの接続

攻撃イベントをアプリケーションに送信するようにContrastでインテグレーションを設定します。

  1. Contrastからの通知を受信するURLを取得します。

  2. Contrastの場合、ユーザーメニューから、組織の設定>インテグレーションを選択します。

  3. 「ADR連携」セクションでユニバーサルフォワーダーオプションを選択します。

  4. 「攻撃イベントの設定」フィールドにURLを入力し、「カスタムのHTTPリクエストヘッダ」のキーと値の情報を入力します。必要に応じてフィールドを追加します。

    ADR_UF-1_EN.png

    URLは、宛先ソリューションのエンドポイントです。HTTPSをサポートしている必要があり、ポート番号は次のような形式で指定できます:https://<mycompany.siem.com>/services/collector:12345

  5. 保存を選択します。

  6. アプリケーションにアクセスし、イベントが受信されていることを確認します。

このセクションの内容: