コンテンツにスキップ

Taegis アクション🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

概要🔗

Taegis アクションは、汎用的なレスポンスおよびエンリッチメントアクションの設定と利用をこれまで以上に簡単にします。これらのアクションはトリアージやケースワークフローに密接に統合されており、分析の迅速化と迅速な対応を可能にします。

Taegis アクションは、一般的なITおよび情報セキュリティツールとの複数のインテグレーションをサポートし、各テクノロジーの複数インスタンスで動作し、より複雑なプレイブックの構成要素としても利用できます。これにより、テクノロジー固有のインテグレーションごとにプレイブックインスタンスを設定・管理する必要がなくなります。

重要

既存のプレイブックベースのインテグレーションも引き続きサポートされており、プレイブックとアクションは併用可能です。

アクションテーブル

新しいアクションは簡易な設定で単一インスタンスのアクションをサポートしますが、追加のインスタンスは詳細なプレイブックテンプレート設定で構成できます。外部インテグレーションには引き続きコネクターの設定が必要です。1つ以上の接続を作成し、アクションの設定時に選択するだけです。アクションは設定された各インテグレーションで実行を試み、複数のプレイブックインスタンスを設定する必要はありません。

Taegis アクションへの移行🔗

テクノロジー固有のプレイブックから新しい Taegis アクションへ移行することで、多くの利点があります。

  • 複数の接続/テクノロジーのサポート — 単一のアクションで、環境内のすべての有効なインスタンスに対して実行できます。
  • エンティティから直接アクションを実行可能 — UIから直接アクションを実行でき、識別子やIPアドレスをコピー&ペーストする必要がありません。
  • より複雑なプレイブックで再利用可能 — 複数ステップのより複雑なプレイブックを構築できます。

テクノロジー固有のレスポンスプレイブックから移行するには、Secureworks® Taegis™ XDR で新しいアクションを設定し、古いプレイブックインスタンスを無効化してください。

移行例🔗

Taegis™ NDR Block および Cisco Meraki プレイブックを使用して、NDR プラットフォームおよび2つの Cisco Meraki ファイアウォールインスタンスでIPをブロックしている場合、これらの古いプレイブックはアクションメニューに表示されず、プレイブック実行時にIPアドレスを手動で入力する必要があります。代わりに、

  1. 単一のBlock IPアクションを追加し、アクション実行時に使用する Taegis™ NDR および Cisco Meraki のアクティビティをインテグレーションタブから選択します。

    Block IPアクションの追加

  2. 各古いプレイブックを無効化します。

    プレイブックの無効化

新しいBlock IPアクションをエンティティのアクションメニューから実行すると、すべての設定済みインスタンスでワンクリックでIPがブロックされます。

利用可能なアクション🔗

利用可能なレスポンスおよびエンリッチメントアクションは、定期的なリリースで今後も拡充されていきます。現在利用可能なアクションは以下の通りです。

ヒント

最新のプレイブックテンプレート、アクション、コネクターの公開履歴や、既存のテンプレートおよびコネクターの更新情報については、自動化の概要をご覧ください。

レスポンスアクション🔗

ワンクリックレスポンスアクションにより、必要なエンティティからワンクリックで迅速にレスポンスアクションを実行できます。利用可能なレスポンスアクションには以下が含まれます。

  • ホストの隔離 / リストア
  • ユーザーの無効化 / 有効化
  • ユーザーを侵害済みとして確認 / 解除
  • IPのブロック / 解除
  • ドメインのブロック / 解除
  • ファイルハッシュのブロック / 解除
  • ホストでのAntivirusスキャンの開始

エンティティでのレスポンスアクション実行

設定後、アクションの実行方法についてはエンティティでのレスポンスアクションの実行をご覧ください。

エンリッチメントアクション🔗

エンリッチメントアクションは外部ツールに自動的に接続し、検知のトリアージやケースの確認時に非常に有益な追加情報を取得します。これにより、検知やイベント、エンティティの詳細を十分に理解するためのコンテキスト情報が得られ、プラットフォーム外でインジケーターやエンティティの詳細を調査する必要がなくなります。

  • 資産の検索
  • ユーザーの検索
  • Emailの分析

エンティティのエンリッチメント表示

設定後、検出の詳細およびエンティティでエンリッチメントデータを確認できます。

事前対応アクション🔗

Secureworks® Taegis™ MDR のお客様は、Taegis MDR アナリストが資産に対して事前に通知や応答を待つことなく代理でアクションを実行できるように設定できます。これにより、重要なアクションの遅延を防ぐことができます。アナリストは、重大と判断された脅威のケース分析後にレスポンスアクションを実行します。個別アクションの承認プロセスは、Taegis アクション設定により改善され、特定のアクション名を手動で入力する必要がなくなりました。

現在は、単一の設定トグルで個別アクションの事前対応を承認できます。アクション名は承認済み命名規則で設定され、承認トグル有効時は編集できません。

個別アクションの事前対応承認

事前対応でサポートされるレスポンスアクションは以下の通りです。

  • ホストの隔離 / リストア
  • ユーザーの無効化 / 有効化
  • IPのブロック / 解除

今後、事前対応でサポートされるアクションが追加されると、アクションテーブルのProactive Response列に承認トグルが表示されます。

事前対応の詳細については、事前対応アクションの概要をご覧ください。

Taegis アクションの表示🔗

Taegis Menu から 自動化 を選択し、アクション を選択すると、Taegis アクションの表示と管理ができます。利用可能なアクションタブには設定可能なすべてのアクションが表示され、設定済みアクションタブにはすでに設定されたアクションが表示されます。

Taegis アクション

アクションの追加🔗

新しいアクションを追加するには、以下の手順に従ってください。

  1. 設定したいアクションを選択します。

    • 利用可能なアクションタブから、目的のアクションの アクション選択 アイコンを選択、または
    • 設定済みアクションタブから、テーブル上部の + アクション追加 を選択し、目的のアクションの アクション選択 アイコンを選択します。

  2. (任意)アクション名の横にある 編集 アイコンを選択し、名前や説明を編集できます。

  3. アクションのインテグレーションタブから、このアクションで使用するインテグレーションを選択します。

    重要

    アクションやお客様の環境によっては、複数のインテグレーションを選択する際に注意が必要です。例えば、ホストの隔離アクションで複数のEDRタイプを選択すると、同一ホスト上で複数のエージェントによる隔離が発生する場合があります。

    ヒント

    サポートされているアクティビティやドキュメントは、依存関係タブから確認できます。

    Block IPアクションの追加

  4. アクション名フィールドに、XDR でアクション実行時に表示されるアクション名を入力します。

  5. 常に を選択して常時アクションを表示するか、条件付き を選択してCEL構文でトリガーフィルターを入力し、アクションが表示される条件を指定します。CEL式を特定の入力タイプでテストするには、CEL Explorerをご利用ください。

  6. (任意)サポートされているアクションを事前対応アクションとして承認したい場合は、有効化 トグルを選択します。事前対応アクションとして承認された場合、アクション名フィールドは編集できません。

  7. 保存 を選択してアクションを保存します。アクションは有効な状態で設定済みアクションタブに追加されます。

    注意

    アクションページで設定したアクションは、プレイブックページにも表示されます。アクションを編集すると、アクション設定フォームが表示されます。左側のアイコンで、そのインスタンスがレスポンス/エンリッチメントアクションであることが分かります。インスタンス名を選択すると、実行履歴やその他の関連情報を含む詳細を確認できます。詳細は設定済みプレイブックをご覧ください。

    プレイブックテーブル上のアクション

アクションの有効化・無効化🔗

アクションの有効化

アクションの有効化・無効化は、以下の手順で行います。

  1. 設定済みアクションタブから、目的のアクションをテーブルで探し、必要に応じて 無効を含める トグルを選択して無効なアクションも表示します。
  2. ステータス列のトグルを選択し、アクションを有効または無効にします。

アクションの編集🔗

アクションの編集

設定済みアクションを編集するには、以下の手順に従います。

  1. 設定済みアクションタブから、目的のアクションをテーブルで探し、必要に応じて 無効を含める トグルを選択して無効なアクションも表示します。
  2. アクション列の アクション編集 アイコンを選択します。アクション設定画面が表示されます。
  3. 必要な変更を行い、完了したら 保存 を選択します。

アクションの削除🔗

アクションの削除

設定済みアクションを削除するには、以下の手順に従います。

  1. 設定済みアクションタブから、目的のアクションをテーブルで探し、必要に応じて 無効を含める トグルを選択して無効なアクションも表示します。
  2. アクション列の アクション削除 アイコンを選択します。アクション削除の確認画面が表示されます。
  3. 削除を確認 を選択して、アクションを削除します。