コンテンツにスキップ

ケースの開始と追加🔗

注意

Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

Secureworks® Taegis™ XDR では、検出、イベント、検索クエリ、添付ファイルを既存のケースに追加したり、それらから新しいケースを作成したりできます。

検出またはイベントから新しいケースを開始する🔗

  1. 任意の検出またはイベントを表示している際に、新しいケースの作成 を選択します。(このオプションは アクション ドロップダウンリスト内にある場合があります。)

    ヒント

    複数の検出やイベントを同時にケースに追加するには、テーブル内のチェックボックスで選択し、アクション→新しいケースの作成 を選択してください。

  2. ケースにタイトルを付け、優先度タイプ を選択します。

  3. 主な発見事項テンプレート を空白または セキュリティ分析 に指定し、送信 を選択します。
  4. 新しいケースへの直接リンクが通知に表示されます。

ケースの開始

すべての検出から新しいケースを開始する🔗

検出ページまたは検索結果から、すべての検出を新しいケースに追加できます。テーブルに表示しきれないほど多くの結果がある場合でも、すばやく新しいケースに追加したいときに便利です。

新しいケースへの検出の一括追加

  1. チェックボックスを使って1つ以上の結果を選択します。
  2. アクション > 新しいケースの作成 を選択します。新しいケースの作成ダイアログが表示されます。
  3. ケースにタイトルを付けます。
  4. すべての検出を追加 オプションを選択します。
  5. 優先度タイプ を選択します。
  6. 主な発見事項テンプレート を空白または セキュリティ分析 に指定します。
  7. 送信 を選択します。ケースが作成されます。

注意

ケースに追加できる検出の上限は50,000件です。

注意

処理時間の都合上、ケース内で検出が表示されるまで数分かかる場合があります。

空の新しいケースを作成する🔗

空の新しいケースとは、内容が何もないケースです。

空のケースの作成

  1. Taegis Menu から ケース > ケース を選択します。
  2. + 新規追加 を選択します。新しいケースの作成 ダイアログが表示されます。
  3. ケースにタイトルを付け、優先度タイプ を選択します。
  4. 主な発見事項テンプレート を空白または セキュリティ分析 に指定し、送信 を選択します。
  5. 新しいケースへの直接リンクが通知に表示され、ケーステーブルに新しい空のケースが表示されます。

既存のケースに検出またはイベントを追加する🔗

XDR 内でイベントや検出を表示している際に、アクション → 既存のケースに追加 を選択し、追加したい既存のケースを選択します。

ヒント

複数の検出やイベントを同時にケースに追加するには、テーブル内のチェックボックスで選択し、アクション→既存のケースに追加 を選択してください。

既存ケースへの追加

既存のケースにすべての検出を追加する🔗

検出ページまたは検索結果から、すべての検出を既存のケースに追加できます。テーブルに表示しきれないほど多くの結果がある場合でも、すばやくケースに追加したいときに便利です。

既存ケースへの検出の一括追加

  1. チェックボックスを使って1つ以上の結果を選択します。
  2. アクション > 既存のケースに追加 を選択します。ケースへの証拠追加ダイアログが表示されます。
  3. ケースリストからケースを選択します。
  4. すべての検出を追加 オプションを選択します。
  5. 送信 を選択します。検出がケースに追加されます。

注意

ケースに追加できる検出の上限は50,000件です。

注意

処理時間の都合上、ケース内で検出が表示されるまで数分かかる場合があります。

既存ケースへの多数検出の追加

保存済み検索クエリをケースにリンクすることで、追加のコンテキストが得られ、アナリスト間の引き継ぎが容易になり、ケースのワークフロー全体が向上します。これを行うと、ケースに元の検索クエリへのリンクが含まれます。

注意

保存済み検索クエリのリンクは、検索結果のコピーを作成するものではありません。また、元の検出やイベントデータのコピーも作成せず、Secureworksのデータ保持ポリシーも変更しません。

保存済み検索をケースに追加

  1. 詳細検索 > データレイク検索 に移動します。
  2. 保存済みクエリ を選択します。

  3. 保存済みクエリテーブルから、目的の保存済み検索の三点リーダー を選択し、既存のケースに追加 を選択します。

    ヒント

    新しいケースの作成 を選択して、検索クエリを空の新しいケースに追加することもできます。

  4. ケースへの証拠追加ダイアログで、ケースリストからケースを選択します。

  5. 送信 を選択します。

ヒント

同じ検索クエリを複数のケースに追加できます。

ケースの検索セクションには、すべての関連付けられた検索クエリが表示されます。

注意

このセクションには検索クエリ名が表示されますが、そのクエリの検索結果は表示されません。

ケースから関連検索を実行

ケースにファイルを添付する🔗

ケースに関連するファイルをアップロードして共有できます。

重要

不正な可能性のあるファイルをアップロードする場合は、infected をパスワードとしたパスワード付きZIPアーカイブに格納してください。

  1. ケースを開きます。
  2. 証拠 タブを選択し、添付ファイル サブタブを選択します。
  3. ファイルのアップロード を選択します。

  4. ドラッグ&ドロップ または 参照 を選択して、1つ以上のファイルを追加します。

    注意

    アップロードできる個々のファイルサイズの上限は2GBです。

  5. 閉じる を選択します。

ケース添付ファイルの追加

注意

ケースに添付されたファイルはデータ保持ポリシーの対象外であり、月間データ上限にもカウントされません。