ケースをクローズする🔗
注意
Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
ケースのレビューが完了したら、利用可能なクローズ済みステータスのいずれかを使用してクローズしてください。
重要
お客様がSecureworks® Taegis™ MDR契約しているお客様の場合、Taegis MDRダッシュボードは、統計を正しく計算するためにケースがクローズされていることに依存しています。
| ステータス | 説明 |
|---|---|
| クローズ済み:セキュリティインシデントを確認 | お客様の組織のシステムまたはデータが侵害された、もしくはそれらを保護するための対策が失敗したことを示します。ケースは完了です。 |
| クローズ済み:承認されたアクティビティ | このアクティビティは承認済みまたは想定されたものです。ケースは完了です。 |
| クローズ済み:脅威を抑制済み | セキュリティインシデントに関連する脅威は、すでにセキュリティコントロールによって抑制されています。ケースは完了です。 |
| クローズ済み:脆弱性の対象外 | 対象となるシステムは該当するエクスプロイトに対して脆弱ではなく、このためケースはセキュリティインシデントには該当しません。ケースは完了です。 |
| クローズ済み: 誤検知の検出 | 検知が示したアクティビティは発生していません。これはセキュリティインシデントではないため、ケースは誤検知としてクローズされます。 |
| クローズ済み:原因不明 | アクティビティの根本原因が特定できず、追加のアクティビティも検知されていません。ケースは完了です。 |
| クローズ済み:情報提供 | アクティビティの分析を行いましたが、特筆すべき発見事項はありませんでした。ケースは完了です。 |
ケースをクローズするには:
- ケースの詳細ページを開きます。
- サマリータブで、ステータスのドロップダウンリストから適切なクローズコードを選択します。
- ケースをクローズする理由を確認するポップアップモーダルが表示されます。
- ケースをクローズを選択して確定します。
ケースがクローズされると、その関連検出および起点検出はクローズコードに従って自動的にラベル付けされます。クローズコードと対応する検出ラベルは以下の通りです。
| ケースクローズコード | 対応する検出ラベル |
|---|---|
| セキュリティインシデントを確認 | 検知(不正な活動) |
| 承認されたアクティビティ | 検知(不正でない) |
| 脅威を抑制済み | 検知(不正でない) |
| 脆弱性の対象外 | 検知(不正でない) |
| 誤検知の検出 | 誤検知 |
| 原因不明 | 対応不要 |
| 情報提供 | 対応不要 |
ヒント
デフォルトの検出クローズコードの動作は、マッピング表に示されている通りケースのクローズ理由をコピーします。ただし、ケースをクローズする際の状況に応じて、このデフォルト動作を上書きし、検出クローズコードを変更することも可能です。
注意
検出ラベルは、検出に含まれるデータに基づき、お客様の組織にとって価値のあるアクティビティをシステムが学習するための一つの方法です。そのため、ケースの結果に基づいて最も関連性の高いラベルを選択することが重要です。
