今回はCortex XSIAMとBOXの連携をご紹介します。 XSIAMではセキュリティ製品以外にも多くのSaaSサービスともコネクタを使って簡単に連携出来ることも大きな強みになっています。今回はBOXとの連携手順をご紹介します。

BOX設定

まずはBOX側でXSIAMと連携するためのカスタムアプリを作成します。

開発者コンソールにてログイン後に、Platformアプリの作成 > カスタムアプリを選択します。

任意の名前を入力し、認証方法として [サーバー認証(クライアント資格情報許可)] を選択してアプリの作成をクリックします。

作成したアプリの [構成] タブから [アプリ + Enterpriseアクセス] を選択します。

[構成] タブから [クライアントシークレットを取得]

[承認] タブから [確認して送信] を選択し、管理者に承認依頼をします。

管理コンソールにログインし、「統合」から「Platformアプリマネージャ」タブを選択します。

承認後にステータスが承認済みになっていれば完了です。

XSIAM設定

続いて、XSIAM側の設定です。
設定 > Data Sources > Add Data Source にてBOXを検索し [Connect] をクリックします。

これまでの手順で既にBOX側でカスタムアプリを作成済みですので、後はID/Secretなどを情報を入れるだけです。
[Test] をクリックして Connection established が表示されることを確認したら [Enable] を押して保存します。

保存後に、Data Sourcesの画面に戻ると正常に連携出来ていることが分かります。

取り込みデータ確認

連携が完了したので、最後に実際にデータが取り込めているのかを確認していきます。

Dashboardを見るとBOXアイコンが表示されておりデータが転送されていることが分かります。



続いてQuery Builder を見てみると dataset内にbox関連のデータセットが存在していることが分かります。

試しに [box_admin_logs_raw] を見てみると関連する様々なデータが表示されているのが分かりました。
これにて今回の検証は完了です！

まとめ

今回は、Cortex XSIAMとBOXの連携手順をご紹介しました。
XSIAMはAIを活用した、データとSOC機能(XDR、SOAR、ASM、SIEM)を一元化したプラットフォームですがBOXのようなSaaSサービスとも連携することでさらにその魅力を発揮することが出来ますのでぜひお試しください！

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。