デセプション
AbuseIPDB用のエンリッチメント構成ガイド
この構成ガイドでは、前提条件に関する情報と、Zscaler デセプションをAbuseIPDBと統合して、Zscaler デセプションの管理ポータルで生成されたイベントを追加のコンテキストで強化する方法について説明します。
AbuseIPDBは、スパム、スキャン、Webアプリ攻撃などのアクティビティーの実行が報告されているIPアドレスのデータベースを維持しています。悪意のあるアクティビティーに関連するIPアドレスを報告したり、IPアドレスが報告されているかどうかを確認したりできます。デセプションとAbuseIPDBを統合することで、インターネットに接続されたデコイからのイベントをエンリッチ化することができます。
前提条件
エンリッチメント統合を設定する前に、次のことを確認します。
- デセプションの管理ポータルからAbuseIPDBのAPIサーバーへのネットワーク接続。
- アクティブなAbuseIPDBアカウント。
AbuseIPDBのAPIキーを作成しました。詳細は、「AbuseIPDBのドキュメント」を参照してください。
AbuseIPDBとのエンリッチメント統合の設定
AbuseIPDBとのエンリッチメント統合を設定するには、以下の手順を実行します。
- [オーケストレート]>[エンリッチ]の順に移動します。
テーブルで[AbuseIPDB]を見つけ、[アクション]列の下にある[編集]アイコンをクリックします。
[AbuseIPDB]ウィンドウで次の操作を行います。
- [有効]を選択します。
- AbuseIPDB APIキーを入力します。
保存 をクリックします。
AbuseIPDBとのエンリッチメント統合が有効になっています。
エンリッチメント統合を有効にすると、イベント ログ]のページでAbuseIPDBからのデータを確認できます。イベント ログに作成される追加フィールドには、abuseipというプレフィックスが付きます。
- abuseip.abuseConfidenceScore
- abuseip.countryCode
- abuseip.countryName
- abuseip.ipAddress
- abuseip.ipVersion
- abuseip.isPublic
- abuseip.isWhitelisted
- abuseip.lastReportedAt
- abuseip.totalReports