このガイドでは、HTTP 経由のカスタムイベントソースを使用して、Axur Platform のフィードを Rapid7 SIEM(InsightIDR)に取り込む方法を説明します。
以下の手順は、このリポジトリ内の他の SIEM ガイドの形式に沿っており、Rapid7 のネイティブ機能のみを使用しています。
注記:このチュートリアルでは、すでに Axur Platform へのアクセス権と必要な API キーをお持ちであることを前提としています。
前提条件
イベントソースの作成および管理権限を持つ Rapid7 InsightIDR へのアクセス
Axur Platform の API キー
コストおよび課金に関する考慮事項
重要: Rapid7 に関連するクラウドまたはプラットフォームのコストは、Rapid7 によりお客様のサブスクリプション/アカウントに対して請求されます。
Axur は、Rapid7 の料金について請求・管理・責任を負いません。
主なコスト要因:
InsightIDR におけるログの取り込み量および保持期間
Rapid7 サブスクリプションで有効化されている追加機能
コストを抑えるためのヒント:
Axur でより絞り込んだフィードフィルターを使用し、データ量を制限する
Rapid7 での取り込みサイズを監視し、スケジュールやフィルターを必要に応じて調整する
ヒント:このチュートリアルで使用されている Rapid7 用語の用語集は、ドキュメントの末尾に掲載されています。
1)Rapid7 内での操作:Event Sources を開き、新しいソースを追加
Rapid7 コンソールで Event Sources(イベントソース) に移動し、新しい Event Source の作成 を開始します。
スクリーンショット:
2)Rapid7 Custom Logs オプションを選択し、ソースに名前を付ける
Rapid7 Custom Logs(または同等のカスタム取り込み)オプションを選択します。
イベントソースには、わかりやすい名前(例:「Axur Integration」)を付けてください。
Webhook オプションを選択し、ソース名を入力します。
次に、取り込みたい Axur コレクションに応じて JSON イベントキー を設定します:
チケット(tickets) の場合:
collectionData.tickets
→ N 個のチケットイベントに分割されます。認証情報(detections) の場合:
collectionData.detections
→ N 個の認証情報イベントに分割されます。
設定を保存した後、生成された Webhook URL をコピーします。
この URL は、Axur 側で Push フィードを作成する際に使用します。
ここでは 認証情報の設定は不要 です。
注記:
JSON イベントキーが、取り込みたい Axur エンティティタイプと一致していることを確認してください。
チケットと検出情報(detections)の両方を個別に取り込みたい場合は、それぞれ別の Webhook ソース を作成してください。
3)Axur 側で:Webhook URL を指定した PUSH フィードを作成する
Axur Platform 内で Push(Webhook 2.0)フィード を作成し、
エンドポイントとして ステップ 2 でコピーした Rapid7 Webhook URL を設定します。
設定内容は、ステップ 2 で指定した JSON イベントキー に合わせて調整してください。
Axur(Push / Webhook 2.0)で設定する項目:
エンドポイント URL: Rapid7 の Webhook URL を貼り付け
JSON イベントの整合性:
Webhook が
collectionData.ticketsを使用している場合 → チケットフィード を作成し、適切なフィルターを設定Webhook が
collectionData.detectionsを使用している場合 → 認証情報フィード(credentials feed) を作成し、対応するフィルターを設定
推奨スケジュール/フィルタリング:
初期設定では控えめに開始(例:間隔を長めに/フィルターを厳しめに)
データ量を確認しながら徐々に調整
ここでは 認証情報の設定は不要 です。
検証
フィードを有効化し、数分待った後に、イベントが Rapid7 に到達しているか確認します。
手順:
InsightIDR で Log Search(または新しい Event Source に関連するビュー)を開く
作成した Event Source 名(例:「Axur Integration」)でフィルタリング
新しいイベントが到着しており、フィールドが期待通りに表示されていることを確認
例:Axur からのチケット/検出データ
注意:
10〜15 分待ってもイベントが確認できない場合は、以下の トラブルシューティング セクションを参照してください。
スクリーンショット:
トラブルシューティング
イベントが表示されない場合:
Axur API キーが有効で、Push フィードが有効化されていることを確認
Rapid7 Webhook URL が UI からコピーしたものと完全に一致していることを確認
Axur フィードの配信ログで HTTP エラーを確認(401 / 404 / 429 / 5xx)
401 / 403 エラー:
Rapid7 から Webhook URL を再コピーし、文字が途切れていないか、余計な文字が入っていないか確認
Webhook を再生成した場合は、Axur フィード内の URL を更新
429(レート制限)やデータ量の懸念:
Axur Platform 内のフィルターでフィードの範囲を絞り込む
不正なペイロード(Malformed payload)エラー:
Axur が JSON を送信していること、Rapid7 のイベントソースが JSON を期待していることを確認
Rapid7 側で特定のトップレベル構造が必要な場合は、軽量な変換を追加する(可能であれば)か、イベントソースの解析設定を調整
用語集
InsightIDR (Rapid7): Rapid7 のクラウド型 SIEM および XDR プラットフォーム。本手順では Axur データの取り込みに使用。
Event Source: InsightIDR 内で設定された入力項目で、ログ/イベントを受信する。
Ingestion Endpoint: Rapid7 が提供する、イベントを受信する Webhook URL。
Push (Webhook 2.0): Axur の配信モードで、イベントを直接指定したエンドポイントに送信。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊