ケースの対応🔗
注意
Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
Secureworks® Taegis™ XDR で検出やイベントを調査する際、ケース を利用して関連情報をまとめ、チームと共有できます。テナント内の他のユーザーも、コメントの追加、関連データの追加、ケースのステータス変更などを通じて、ケースを閲覧・対応できます。
Secureworks® Taegis™ MDR を契約している場合、ケースはSecureworksが脅威関連のアクティビティをお客様の組織に記録・共有・エスカレーションする手段でもあります。
注意
ケースは契約期間中保持されます。ただし、検出およびイベントデータはデフォルトで12か月間保持され、それ以降はケース内に表示されません。お客様は、XDR データ保持ポリシー に記載の追加料金により、保持期間を延長できます。
ケースページへのアクセス🔗
Taegis Menu から ケース を選択すると、現在のテナント内のすべてのケースを表示できます。作成者や作成日時、現在のステータス、最終更新日時、関与するエンティティ、関連する検出・イベント・エージェント数などの情報が確認できます。
ヒント
ケースは検出トリアージダッシュボードのRecent Casesウィジェットや、Taegis MDRダッシュボードのOngoing Casesウィジェットからもアクセスできます。
ケースのフィルタリング🔗
デフォルトでは、過去1年間に作成され、アーカイブされていないすべてのケースがテーブルに表示されます。ケースのテーブルをフィルタリングするには:
-
ケーステーブル上部のステータスカードを選択します。これにより、ステータスごとのケース数が表示されます。数字はその状態のケース数を示します。
- 合計 — アーカイブ済み以外のすべてのケース。
- オープン — オープンステータスのケース。
- アクティブ — アクティブステータスのケース。
- アクション待ち — アクション待ちステータスのケース。
- 保留中 — 保留中ステータスのケース。
-
テーブル左側の折りたたみ式フィルターメニューを使用して、該当するケースのリストを絞り込みます。
- フィルターを選択すると、テーブルが動的に更新され、結果数も反映されます。
- フィルターメニュー右上の フィルター選択のリセット アイコンを選択すると、すべてのフィルターを一度にクリアできます。
- メニューの開閉状態は、画面遷移時にユーザー設定として保存されます。
-
列ヘッダー右側のメニューアイコンから、テーブルの列を編集・フィルタリングできます。
- アーカイブ済みを表示 フィルターを選択すると、アーカイブ済みやクローズ済みのケースもテーブルに表示されます。詳細はアーカイブ済みケースをご覧ください。
ヒント
ケーステーブルでケースタイトルにカーソルを合わせると、ツールチップでフルタイトルが表示されます。
ケースの管理🔗
必要なユーザーロールを持つユーザーは、ケースに対して以下のアクションを実行できます:
注意
以下の内容は、ケースの編集方法に影響します。
- クローズ済み ステータスのいずれかが設定されたケースは、ステータス フィールドと アーカイブ アクション以外は読み取り専用です。
- アーカイブ済みケースは、アーカイブ解除 アクション以外は読み取り専用です。
XDR 内のどこからでもケースタイトルを選択すると、詳細を表示できます。ケース名横の 編集 アイコンで名前を変更できます。
ケースリスクスコアは、ケーステーブルおよびケース詳細の名前横に表示されます。詳細はケースリスクスコアをご覧ください。
ケースの詳細は、概要、証拠、履歴、エンリッチメント の4つのタブに分かれています。
ヒント
証拠 または 履歴 タブにカーソルを合わせると、サブタブのドロップダウンリストが表示され、任意のセクションに素早く移動できます。
Sophos AI への質問🔗
テナント管理者は、ケース上部の Ask Sophos AI をクリックして、Sophos AIアシスタントを使いケースを調査できます。
アシスタントの使い方はAIアシスタント概要をご参照ください。
概要タブ🔗
概要タブには以下のセクションが表示されます。
ケースの概要🔗
ケースの概要セクションでは、Sophos AIが利用可能なケースデータに基づき自然言語でサマリーを生成します。サマリーはケース作成時に自動生成されますが、ケース更新時に自動でリフレッシュされることはありません。
ケース作成後に内容を更新した場合は、セクション上部の 再生成 をクリックしてサマリーを更新できます。
サマリーが最後に生成された日時は、セクション下部に表示されます。
注意
サマリーの品質は、ケースに追加された検出やイベント、主な発見事項の内容など、利用可能なケースデータに依存します。
ケース詳細🔗
概要タブの詳細には、ケースに関する以下の情報が含まれます:
- ステータス — ケースの現在のステータス。ケースステータスを参照してください。
- 担当者 — 現在ケースが割り当てられているユーザー。
- 優先度 — 活動の重要性や組織への影響度を示します。ケース優先度を参照してください。
- タイプ — ケースのカテゴリ。ケースタイプを参照してください。
- クローズ理由 — ケースクローズ時に入力された任意の理由。ケースのクローズを参照してください。
- ID — ケースの一意の識別番号(例: INV00001)。
- 作成者 — ケースを最初に作成したユーザー。
- 作成日時 — ケースが作成された日時。
- 更新者 — ケースを最後に更新したユーザー。
- 更新日時 — ケースが最後に更新された日時。
- アーカイブ日時 — ケースがアーカイブされた日時(該当する場合)。
- チケット — お客様の組織やチケットシステム(Zendeskなど)の参照番号。
注意
このフィールドへの手動変更は、チケットプロバイダーと連携したプレイブックや他の自動化プロセスによって上書きされる場合があります。
- タグ — ケースに追加できるタグ。
ケースステータス🔗
ケースのステータスは、トリアージ・対応・解決の進行に応じて変化し、チームのワークフローを追跡できます。
| ステータス | 説明 |
|---|---|
| オープン | ケースが作成されました。 |
| アクティブ | ケースが進行中です。 |
| アクション待ち | ケース継続のため追加アクションが必要です。アクション待ちへの変更を参照してください。 |
| 保留中 | ケースが一時停止されています。 |
| クローズ済み:セキュリティインシデントを確認 | 組織のシステムやデータが侵害された、または保護措置が失敗した場合。ケースは完了です。 |
| クローズ済み:承認されたアクティビティ | 活動が承認済みまたは想定内の場合。ケースは完了です。 |
| クローズ済み:脅威を抑制済み | セキュリティインシデントに関連する脅威がセキュリティコントロールにより既に抑制されています。ケースは完了です。 |
| クローズ済み:脆弱性の対象外 | 対象システムが該当する脆弱性の影響を受けないため、ケースはセキュリティインシデントに該当しません。ケースは完了です。 |
| クローズ済み: 誤検知の検出 | 検出が示した活動は発生していません。これはセキュリティインシデントではないため、ケースは誤検知としてクローズされます。 |
| クローズ済み:原因不明 | 活動の根本原因が特定できず、追加の活動も検知されていません。ケースは完了です。 |
| クローズ済み:情報提供 | 活動の分析結果、特筆すべき発見事項はありませんでした。ケースは完了です。 |
注意
ケースはトリアージ中に ドラフト ステータスとなる場合があり、この間はXDRのケース一覧からは表示されません。エスカレーションの必要性が確認されると、ドラフト ステータスが解除され、ケースがエスカレーションされて表示されます。
ヒント
Secureworks® Taegis™ MDR を契約している場合、Taegis MDRダッシュボードはケースの解決状況に基づき統計情報を生成します。
ケース優先度🔗
ケース作成時には、以下の表に従い優先度を設定し、関連活動の重要性や影響度を強調し、対応の優先順位を決定します。ケース対応中にも優先度を変更できます。
Secureworksが作成したケースでは、アナリストが脅威評価や活動の影響度に基づき手動で優先度を設定します。自動作成されたケースでは、自動ケーステンプレートによって優先度が設定される場合もあります。
| 優先度 | 説明 |
|---|---|
| 重大 | 即時対応が必要な差し迫った脅威。ランサムウェアの発生、攻撃者によるハンズオンキーボード操作、データ流出、認証情報のダンプ、内部ドメインやネットワークの列挙、永続化の作成・実行など。 |
| 高 | 迅速な対応が必要な重要な活動。例:ホスト感染、認証情報の窃取、脆弱性の悪用成功など。 |
| 中 | 影響が拡大する可能性のある活動。例:ログイン失敗、脆弱性スキャンなど。 |
| 低 | 影響が少ないと考えられる活動。例:インスタントメッセージ、アドウェア、ポートスキャンなど。 |
ケースタイプ🔗
組織で実施するケースの種類を分類します。
| タイプ | 説明 |
|---|---|
| セキュリティ分析 | XDR の検出によるケースのデフォルトタイプ。 |
| インシデント対応 | インシデント対応エンゲージメントに関連する証拠やケース詳細の収集に使用。 |
| 脅威ハンティング | 未特定・潜在的な脅威の調査に使用。 |
| OTケース | OT関連のケースに使用。 |
| 情報提供 | 情報伝達のみを目的とし、セキュリティインシデントを示すものではありません。 |
Secureworksは、以下のケースタイプも利用します(Secureworksユーザーのみ利用可能)。
| タイプ | 説明 |
|---|---|
| Taegis MDR 脅威ハンティング | Taegis MDR サービスの月次プロアクティブ脅威ハンティング。 |
| CTU 脅威ハンティング | Secureworks Counter Threat Unit (CTU™) による脅威ハンティング。 |
| Taegis MDR Elite 脅威ハンティング | Elite Threat Hunting Serviceの一部として使用。 |
| Secureworks インシデント対応 | Secureworks IRへのエスカレーション自動化に使用。 |
| Unlimited Response | Taegis MDR 契約者向けUnlimited Responseの一部として使用。 |
| Taegis MDR OTケース | Taegis MDR for OTサービスの一部としてOT関連ケースに使用。 |
主な発見事項🔗
主な発見事項セクションは、ケースの分析内容を記録するためのスペースです。編集 を選択して、ケース進行に応じて独自のレポートを作成できます。
新規ケース作成時、主な発見事項セクションを空欄にするか、セキュリティ分析テンプレートを選択できます。このテンプレートでは、以下のセクションが自動入力されます:
- インシデント概要
- 推奨事項
- 技術的詳細
- 参考情報
ヒント
主な発見事項セクションはMarkdown記法に対応しており、ケースや発見事項のフォーマットが容易です。
証拠タブ🔗
証拠タブでは、ケースに関連するすべてのドキュメントを一元的に表示し、以下のサブタブが含まれます:
- エンティティ — ケースに含まれるイベントから抽出されたすべてのエンティティ。エンティティは、インシデントに関与したデータ(ユーザー名、ホスト名、IPアドレス、ファイルなど)です。エンティティを参照してください。
- 検出 — ケースに追加された検出。ケース開始に使われた最初の検出には、Genesis Detectionを示すフラグアイコンが付きます。
-
イベント — ケースに追加されたイベント。ケース開始に使われた最初のイベントには、Genesis Eventを示すフラグアイコンが付きます。
注意
ケースに追加されたイベントは、さまざまな列でフィルタリングやソートが可能です。
-
エージェント — ケース内の検出やイベントに影響を受けたデバイス。
-
検索 — ケースに紐づく検索クエリ。選択すると検索が開きます。
注意
ケースから検索クエリを削除しても、検索クエリ自体は削除されず、リンクが解除されるだけです。
-
添付ファイル — ケースに関連するファイル添付の閲覧・管理。最大ファイルサイズは2GBです。
エンティティ🔗
エンティティサブタブのテーブルから エンティティ 名を選択すると、右側にエンティティ詳細のサイドドロワーが開きます。エンティティ詳細には、タイプに応じて初回検出日時・最終検出日時・関連エンティティ・関連検出・脅威インテリジェンス(利用可能な場合)などの追加情報が表示されます。サイドドロワーの 新しいタブ アイコンを選択すると、エンティティ詳細ページが開きます。
ヒント
ケース右上の エンティティグラフ を選択すると、エンティティグラフが起動し、ケース関連エンティティやその関係性・詳細を視覚的に調査できます。エンティティグラフによる詳細調査を参照してください。
エンティティの並べ替え・フィルタリング🔗
エンティティテーブルをカスタマイズするには:
- 列ヘッダー横のメニューアイコンで、列の固定・自動サイズ調整・リセットが可能です。
- 列アイコンで、テーブルに表示する列を選択できます。
エンティティへの対応アクションの実行🔗
テナントで該当する自動化が設定されている場合、エンティティに対して対応アクションを実行できます。エンティティテーブルのアクション列またはエンティティ詳細サイドドロワーから縦三点リーダーを選択してください。
ヒント
エンティティグラフからもエンティティへの対応アクションを実行できます。エンティティグラフによる詳細調査を参照してください。
CEL Explorerでエンティティを表示🔗
アクションメニューからCEL Explorerで表示を選択し、CEL式の結果を自動化設定で利用するために、表示中のデータに対してテストできます。詳細については、CEL Explorer を参照してください。
履歴タブ🔗
履歴タブでは、ケースの履歴に関連するデータを一元的に表示し、以下のサブタブが含まれます:
タイムライン🔗
タイムライン サブタブでは、ケースの検出・イベント・アクションを時系列で表示し、ケースの範囲や進捗を可視化します。
- デフォルトでは、ケース作成30日前から最終更新30日後までのすべての検出・イベント・監査履歴アクションが表示されます。日付/時刻ピッカーで期間を変更できます。
- フィルターで、検出、イベント、監査履歴 のアクティビティタイプごとに表示/非表示を切り替えられます。
注意
ケースタイムラインは、新しい検出インターフェースが一般提供された以降に作成された検出のみ対応しています。
監査ログ🔗
監査ログサブタブでは、ケースに関連する監査ログのテーブルが表示されます。
実行履歴🔗
実行履歴サブタブでは、ケースに対するプレイブック実行履歴が表示されます。行のタイムスタンプをクリックすると、プレイブック実行ログの詳細サイドドロワーが開きます。
エンリッチメントタブ🔗
エンリッチメントタブでは、そのケースで実行されたエンリッチメントプレイブックインスタンスが表示されます。エントリをクリックすると、プレイブックの出力や実行履歴を確認できます。
エンティティグラフによる詳細調査🔗
ケースに関連するエンティティやその関係性・詳細を深く調査するには、ケース右上の エンティティグラフ を選択して エンティティグラフ を起動します。
ケースへのコメント追加🔗
ケースに対するすべてのコメントは、折りたたみ式サイドバーで確認できます。
ケースに自分のコメントを追加するには、以下の手順で操作します:
- ケース詳細ページを開きます。
- 右側のユーティリティトレイにあるコメントアイコンを選択します。
-
メッセージを入力します。
ヒント
ケースコメントの入力欄は、基本的なHTMLタグや絵文字に対応しています。必要に応じて 🙂 , 🤔, 😱 なども利用できます。
ヒント
@ で他のユーザーをメンションすると、XDR 内で通知が送信され、返信を促せます。
Taegis MDR の契約がある場合、コメントに @secureworks を追加することで、SecureworksのThreat Hunterチームと直接やり取りできます。これによりサポートチームに通知され、ディスカッションに参加します。
@ メンション付きコメントへの返信時は、新しいコメントが自動的に該当ユーザーへの @ メンションで始まります(不要な場合は削除可能)。
-
保存 を選択します。
ヒント
ハンドルをドラッグしてコメントパネルの幅を調整できます。
ケースの引き継ぎ🔗
ケースの現在の担当者は 担当者 と呼ばれます。他のコメント追加やケース修正を行うユーザーは コラボレーター です。担当者とコラボレーターのアバターはケースヘッダーに表示されます。各ケースには常に1人の担当者がいます(お客様またはSecureworksのいずれか)。
ケースを特定のユーザーに引き継ぐ方法は2つあります:
担当者の選択🔗
- ケース詳細ページを開きます。
- 現在の担当者名を選択します。
- 担当者を選択します。名前またはメールアドレスで絞り込みが可能です。自分自身、テナント全体、特定ユーザーを指定できます。Taegis MDR 契約者はSecureworksへの割り当ても可能です。
- ケースのステータスは アクション待ち に、または自分自身に割り当てた場合は アクティブ になります。新しい担当者にはアプリ内通知およびメール(希望者のみ)が送信されます。
ケースを アクション待ち に変更🔗
- ケースのステータスドロップダウンから アクション待ち を選択します。
- ポップアップモーダルで、対応を待つユーザーを選択します。
- ケースを割り当て を選択します。
- ケースのステータスが アクション待ち となり、新しい担当者にはアプリ内通知およびメール(希望者のみ)が送信されます。
ケースの共有🔗
テナント内の他ユーザーとケースを共有するには、共有リンクのコピー アイコンを選択して直接URLを取得します。
CEL Explorerでケースを表示🔗
アクションメニューからCEL Explorerで表示を選択し、CEL式の結果を自動化設定で利用するために、表示中のデータに対してテストできます。詳細については、CEL Explorer を参照してください。
ケースのエクスポート🔗
すべてをCSVでエクスポート🔗
ケーステーブルのCSVファイルをダウンロードするには、以下の手順で操作します:
- Taegis Menu から ケース を選択し、ケースページを表示します。
-
必要に応じてテーブルをフィルタリングします。
ヒント
列内容でフィルタリングは可能ですが、最終的なCSVファイルにはすべての列が含まれます。
-
アクション → すべてをCSVでエクスポート を選択します。ダウンロード準備ができると、データエクスポートテーブルに表示されます。
選択したものをCSVでエクスポート🔗
テーブルの単一行をCSVでダウンロードするには、該当行のアクション列からエクスポートアイコンを選択します。
複数行をエクスポートするには、以下の手順で操作します:
- Taegis Menu から ケース を選択し、ケースページを表示します。
-
必要に応じてテーブルをフィルタリングします。
ヒント
列内容でフィルタリングは可能ですが、最終的なCSVファイルにはすべての列が含まれます。
-
エクスポートしたい行の左側チェックボックスを選択します。
- アクション → 選択したものをCSVでエクスポート を選択します。ダウンロード準備ができると、データエクスポートテーブルに表示されます。
ケース詳細をPDFでエクスポート🔗
個別ケースの詳細をPDFファイルでエクスポートすることも可能です。手順は以下の通りです:
- Taegis Menu から ケース を選択し、エクスポートしたいケース名を選択します。
-
ケース詳細ページから アクション → PDFでエクスポート を選択します。
ケースのPDFエクスポート -
レポートに トップレベルの発見事項 および/または 主な発見事項 を含めるか選択し、印刷 を選択します。
- ダウンロード準備ができると、完了したレポートに表示されます。
アーカイブ済みケース🔗
不要になったケースや誤って作成されたケースは、アーカイブできます。
アーカイブ済みケースを表示するには:
- フィルターメニューから アーカイブ済みを表示 を選択し、アーカイブ済みやクローズ済みのケースをテーブルに表示します。
- ステータスカードで状態ごとに表示できます:
- アーカイブ済み — アーカイブされたケース。
- クローズ済み — クローズコードのいずれかでクローズされたケース。
- フィルターメニューを使ってさらに絞り込みが可能です。
注意
以下の内容は、ケースの編集方法に影響します。
- クローズ済み ステータスのいずれかが設定されたケースは、ステータス フィールドと アーカイブ アクション以外は読み取り専用です。
- アーカイブ済みケースは、アーカイブ解除 アクション以外は読み取り専用です。
個別ケースのアーカイブ🔗
重要
ケースはアーカイブ前にクローズされている必要があります。
個別のクローズ済みケースをアーカイブする方法は2つあります:
-
ケース詳細ページから アクション → アーカイブ を選択
詳細から個別ケースをアーカイブ -
ケーステーブルのアクション列から アーカイブ アイコンを選択
テーブルから個別ケースをアーカイブ
複数ケースのアーカイブ🔗
重要
ケースはアーカイブ前にクローズされている必要があります。
ケーステーブルから複数のケースをアーカイブするには、以下の手順で操作します:
- Taegis Menu から ケース を選択し、ケースページを表示します。
- アーカイブしたいケースのチェックボックスを選択します。
- テーブル上部の アクション → 選択したケースをアーカイブ を選択します。ケースがアーカイブされます。
アーカイブ済みケースのリストア🔗
個別ケースのリストア🔗
個別のアーカイブ済みケースをリストアする方法は2つあります:
-
ケース詳細ページから アクション → アンアーカイブ を選択
詳細からアーカイブ済みケースをリストア -
ケーステーブルのアクション列から アンアーカイブ アイコンを選択
テーブルからアーカイブ済みケースをリストア
複数ケースのリストア🔗
複数のアーカイブ済みケースをリストアするには:
- Taegis Menu から ケース を選択し、ケースページを表示します。
- フィルターメニュー左側の アーカイブ済みのみ表示 トグルを選択し、すべてのアーカイブ済みケースを表示します。
- リストアしたいケースのチェックボックスを選択します。
- テーブル上部の アクション → 選択したケースをアンアーカイブ を選択します。ケースがリストアされます。
