Cybereason 資産データ・ソースへの接続

オンライン編集

Cybereason Connected Assets and Risk コネクターは、プラットフォーム・クラスターで実行できます。 コネクターは、 Cybereason 資産データベースの内容を、 Connected Assets and Risk サービスによって管理されるデータと増分的に同期します。

始める前に

Cybereason 管理者またはアカウント所有者と連携して、 Cybereason API にアクセスするためのログイン資格情報を取得します。

このタスクについて

Cybereason コネクターは、以下の API エンドポイントを使用して Cybereason バージョン 21.1 で機能するように設計されています。
  • センサー (センサー/照会)
  • Malops (検出/受信トレイ)
  • ハントと調査 (visualsearch/query/simple)
  • 修復 (remediate/status/:malopId)

手順

  1. メニュー > 「接続」 > 「データ・ソース」に移動します。
  2. 「アセット」タブで、 「アセットの接続」をクリックします。
  3. 「Cybereason」をクリックし、 「次へ」をクリックします。
  4. データ・ソースへの接続を構成します。
    1. 「コネクター名」 フィールドで、データ・ソース接続を一意的に識別する名前を割り当てます。
      ヒント: 使用できるのは、英数字と以下の特殊文字のみです。 - . _
    2. 「コネクターの説明」 フィールドに、データ・ソース接続の目的を示す説明を入力します。
      ヒント: 使用できるのは、英数字と以下の特殊文字のみです。 - . _
    3. 「エッジ・ゲートウェイ (オプション) (Edge gateway (optional))」 フィールドで、使用する IBM® Security Edge Gateway を指定します。

      コネクターをホストする Edge Gateway を選択します。 Edge Gateway は、バージョン 1.6 以降でなければなりません。 Edge Gatewayへの接続を確立するには、最大 5 分かかる場合があります。

      重要: プラットフォーム・クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。

      詳しくは、 エッジ・ゲートウェイのセットアップを参照してください。

    4. 「頻度」 フィールドで、コネクターがデータ・ソースからデータをインポートする頻度を分単位で設定します。
      この値は整数でなければなりません。
      例えば、値が 5 の場合、コネクターは 5 分ごとに実行されます。
      データ・ソースに多くの資産がない場合、またはデータを頻繁にインポートしない場合は、頻度を減らしてください。
    5. 「管理 IP アドレスまたはホスト名」 フィールドに、データ・ソースのホスト名または IP アドレスを入力して、プラットフォームが通信できるようにします。
    6. 「ホスト・ポート」 フィールドに、データ・ソース・ホストに関連付けられているポート番号を入力します。 デフォルト・ポートは 8443です。
    7. 「脆弱性の保存期間」 フィールドに、インポートする脆弱性の日数を入力します。 デフォルト値は 30 日で、最小値は 1 日です。
  5. 「構成」 セクションで、 「構成の追加」をクリックします。
  6. ID およびアクセス権限を構成します。
    1. 「アクセス権限の編集」 をクリックし、データ・ソースに接続できるユーザーとアクセス権限のタイプを選択します。
    2. 「構成名」 フィールドに、アクセス構成を記述する固有の名前を入力し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別します。 英数字と特殊文字 - . _ のみを使用できます。
    3. 「構成の説明」 フィールドに、アクセス構成を記述し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別するための固有の説明を入力します。 英数字と特殊文字 - . _ のみを使用できます。
    4. 「ユーザー名」 フィールドに、 Cybereason API 資格情報のユーザー名を入力します。
    5. 「パスワード」 フィールドに、 Cybereason API 資格情報のパスワードを入力します。
    6. 「追加」をクリックします。
    7. 構成を保存して接続を確立するには、 「完了」をクリックします。
  7. 構成を編集するには、以下の手順を実行します。
    1. 「資産」 タブで、編集するデータ・ソース接続を選択します。
    2. 「構成」 セクションで、 「構成の編集」 (「構成の編集」アイコン) をクリックします。
    3. ID およびアクセス・パラメーターを編集し、 「保存」をクリックします。

結果

コネクターは、データ・ソースからデータをインポートします。 コネクターは、「頻度」フィールドで設定した間隔でデータ・ソースを再度インポートします。

「データ・ソース設定」 ページの 「資産」 タブで、「接続」の下に追加したデータ・ソース接続構成を確認できます。 カード上のメッセージは、データ・ソースとの接続を示します。

データ・ソースを追加すると、データ・ソースが接続されていると表示されるまでに数分かかる場合があります。
ヒント: データ・ソースに接続した後、データを取得するのに最大 30 秒かかる場合があります。 データ・セット全体が返される前に、データ・ソースが使用不可として表示される場合があります。 データが返されると、データ・ソースは接続済みとして表示され、接続状況を検証するためのポーリング・メカニズムが発生します。 接続状況は、ポーリングのたびに 60 秒間有効です。

このデータ・ソースに対して、異なるユーザーおよび異なるデータ・アクセス許可を持つ他の接続構成を追加できます。

次に実行するタスク

アセット・データ・ソースに一致する IP アドレスを IBM Security Data Explorer で検索して、接続をテストします。 Data Explorerで、IP アドレスをクリックすると、その IP アドレスに関連付けられているアセットとリスクが表示されます。

Data Explorerを使用するには、アプリケーションが統一されたデータ・ソース・セット全体で照会を実行して結果を取得できるように、データ・ソースが接続されている必要があります。 検索結果は構成済みのデータ・ソースに含まれるデータによって異なります。 Data Explorerで照会を作成する方法について詳しくは、 照会の作成を参照してください。