コンテンツにスキップ

Taegis アクション🔗

注意

Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

概要🔗

Taegis アクションは、汎用的なレスポンスおよびエンリッチメントアクションの設定と利用をこれまで以上に簡単にします。これらのアクションはトリアージやケースワークフローに密接に統合されており、分析の迅速化と迅速な対応を可能にします。

Taegis アクションは、一般的なITおよび情報セキュリティツールとの複数のインテグレーションをサポートし、各テクノロジーの複数インスタンスで動作し、より複雑なプレイブックの構成要素としても利用できます。これにより、テクノロジー固有のインテグレーションごとにプレイブックインスタンスを設定・管理する必要がなくなります。

重要

既存のプレイブックベースのインテグレーションも引き続きサポートされており、プレイブックとアクションは併用可能です。

アクションテーブル

新しいアクションは簡易な設定で単一インスタンスのアクションをサポートしますが、追加インスタンスは高度なプレイブックテンプレート設定で構成できます。コネクターの設定は外部インテグレーションに引き続き必要です。1つまたは複数の接続を作成し、アクションの設定時に選択するだけです。アクションは設定された各インテグレーションで実行を試みるため、複数のプレイブックインスタンスを設定する必要はありません。

Taegis アクションへの移行🔗

テクノロジー固有のプレイブックから新しい Taegis アクションへ移行することで、多くの利点があります。

  • 複数の接続/テクノロジーのサポート — 単一のアクションで、環境内のすべての有効なインスタンスに対して実行できます。
  • エンティティから直接アクションを実行可能 — UIから直接アクションを実行でき、識別子やIPアドレスをコピー&ペーストする必要がありません。
  • より複雑なプレイブックで再利用可能 — 複数ステップのより複雑なプレイブックを構築できます。

テクノロジー固有のレスポンスプレイブックから移行するには、Secureworks® Taegis™ XDR で新しいアクションを設定し、古いプレイブックインスタンスを無効化してください。

移行例🔗

Taegis™ NDR Block および Cisco Meraki プレイブックを使用して、NDR プラットフォームおよび2つの Cisco Meraki ファイアウォールインスタンスでIPをブロックしている場合、これらの古いプレイブックはアクションメニューに表示されず、プレイブック実行時にIPアドレスを手動で入力する必要があります。代わりに、

  1. 単一の Block IP アクションを追加し、アクション実行時に使用する Taegis™ NDR および Cisco Meraki のアクティビティをインテグレーションタブから選択します。

    Block IP アクションの追加

  2. 各古い設定済みプレイブックを無効化します。

    プレイブックの無効化

新しい Block IP アクションをエンティティのアクションメニューから実行すると、すべての設定済みインスタンスでワンクリックでIPをブロックできます。

利用可能なアクション🔗

利用可能なレスポンスおよびエンリッチメントアクションは、定期的なリリースで今後も拡充されていきます。現在利用可能なものは以下の通りです。

ヒント

最新のプレイブックテンプレート、アクション、コネクターの公開履歴や、既存のテンプレートおよびコネクターの更新情報については、自動化の概要をご覧ください。

レスポンスアクション🔗

ワンクリックレスポンスアクションにより、必要なエンティティからワンクリックで迅速にレスポンスアクションを実行できます。利用可能なレスポンスアクションは以下の通りです。

  • ホストの隔離 / リストア
  • ユーザーの無効化 / 有効化
  • ユーザーを侵害済みとして確認 / 解除
  • IPのブロック / 解除
  • ドメインのブロック / 解除
  • ファイルハッシュのブロック / 解除
  • ホストでのAntivirusスキャンの開始

エンティティでのレスポンスアクション実行

設定後、アクションの実行方法についてはエンティティでのレスポンスアクションの実行をご参照ください。

エンリッチメントアクション🔗

エンリッチメントアクションは外部ツールに自動的に接続し、検知のトリアージやケースのレビュー時に非常に有益な追加情報を取得します。これにより、検知やイベント、またはそれらの検知に含まれるエンティティの詳細を十分に理解するためのコンテキスト情報が得られ、インジケーターやエンティティの詳細調査のためにプラットフォーム外へ移動する必要がなくなります。

  • 資産の検索
  • ユーザーの検索
  • Emailの分析

エンティティのエンリッチメント表示

設定後、検出の詳細およびエンティティでエンリッチメントデータを確認できます。

事前対応アクション🔗

Secureworks® Taegis™ MDR のお客様は、Taegis MDR アナリストが資産に対して事前通知や応答待ちをせずに代理でアクションを実行できるように有効化できます。これにより、重要なアクションの実施が遅れることを防げます。アナリストは、重大と判断された脅威のケース分析後にレスポンスアクションを実行します。個別アクションの承認プロセスは Taegis アクション設定で改善され、特定のアクション名を手動入力する必要がなくなりました。

現在は、単一の設定トグルで個別アクションの事前対応を承認できます。承認トグルを有効化すると、アクション名は承認済みの命名規則で設定され、編集できません。

個別アクションの事前対応承認

事前対応でサポートされるレスポンスアクションは以下の通りです。

  • ホストの隔離 / リストア
  • ユーザーの無効化 / 有効化
  • IPのブロック / 解除

今後、事前対応でサポートされるアクションが追加されると、アクションテーブルの事前対応列に承認トグルが表示されます。

事前対応の詳細については事前対応アクションの概要をご参照ください。

Taegis アクションの表示🔗

Taegis アクションを表示・管理するには、Taegis Menu から 自動化 を選択し、アクション を選択します。利用可能なアクションタブには設定可能なすべてのアクションが表示され、設定済みアクションタブにはすでに設定されたアクションが表示されます。

Taegis アクション

アクションの追加🔗

新しいアクションを追加するには、以下の手順に従ってください。

  1. 設定したいアクションを選択します。

    • 利用可能なアクションタブから、目的のアクションの アクション選択 アイコンを選択、または
    • 設定済みアクションタブから、テーブル上部の + アクション追加 を選択し、目的のアクションの アクション選択 アイコンを選択します。

  2. (任意)アクション名の横にある 編集 アイコンを選択し、名前や説明を編集できます。

  3. アクションのインテグレーションタブから、このアクションで使用するインテグレーションを選択します。

    重要

    アクションやお客様の環境によっては、複数のインテグレーションを選択する際に注意が必要です。例えば、ホストの隔離アクションで複数のEDRタイプを選択すると、ホストが複数のエージェントを同時に実行している場合、複数のエージェントによって隔離される可能性があります。

    ヒント

    サポートされているアクティビティやドキュメントは依存関係タブから確認できます。

    Block IP アクションの追加

  4. アクション名フィールドに、XDR でアクション実行時に表示されるアクション名を入力します。

  5. 常に を選択して常時アクションを表示するか、条件付き表示 を選択してCEL構文でトリガーフィルターを入力し、アクションが表示される条件を指定します。CEL式を特定の入力タイプでテストするには、CEL Explorerをご利用ください。設定中に式の結果を確認できます。

  6. (任意)サポートされているアクションを事前対応アクションとして承認したい場合は、有効化 トグルを選択します。事前対応アクションとして承認された場合、アクション名フィールドは編集できません。

  7. 保存 を選択してアクションを保存します。アクションは有効な状態で設定済みアクションタブに追加されます。

    注意

    アクションページで設定したアクションはプレイブックページにも表示されます。アクションを編集すると、アクション設定フォームに遷移します。行の左側のアイコンは、そのインスタンスがレスポンス/エンリッチメントアクションであることを示します。インスタンス名を選択すると、実行履歴やその他の関連情報を含む詳細を確認できます。詳細は設定済みプレイブックをご参照ください。

    プレイブックテーブル上のアクション

アクションの有効化・無効化🔗

アクションの有効化

アクションを有効化・無効化するには、以下の手順に従ってください。

  1. 設定済みアクションタブから、テーブル内の目的のアクションを探し、必要に応じて 無効を含める トグルを選択して無効なアクションも表示します。
  2. ステータス列のトグルを選択し、アクションを有効または無効にします。

アクションの編集🔗

アクションの編集

設定済みアクションを編集するには、以下の手順に従ってください。

  1. 設定済みアクションタブから、テーブル内の目的のアクションを探し、必要に応じて 無効を含める トグルを選択して無効なアクションも表示します。
  2. アクション列の アクション編集 アイコンを選択します。アクション設定画面が表示されます。
  3. 必要な変更を行い、完了したら 保存 を選択します。

アクションの削除🔗

アクションの削除

設定済みアクションを削除するには、以下の手順に従ってください。

  1. 設定済みアクションタブから、テーブル内の目的のアクションを探し、必要に応じて 無効を含める トグルを選択して無効なアクションも表示します。
  2. アクション列の アクション削除 アイコンを選択します。アクション削除の確認画面が表示されます。
  3. 削除を確認 を選択して、アクションを確定・削除します。