ケースの対応🔗
注意
Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
Secureworks® Taegis™ XDR で検出やイベントを調査する際、ケース を使用して関連情報をまとめ、チームと共有できます。テナント内の他のユーザーは、コメントの追加、関連データの追加、ケースのステータス変更などを行い、ケースを閲覧・対応できます。
Secureworks® Taegis™ MDR を契約している場合、ケースはSecureworksが脅威関連のアクティビティをお客様の組織に記録・共有・エスカレーションする手段でもあります。
注意
ケースは契約期間中保持されます。ただし、検出およびイベントデータはデフォルトで12か月間保持され、それ以降はケース内に表示されません。お客様は、XDR データ保持ポリシー に記載の追加料金で保持期間を延長できます。
ケースページへのアクセス🔗
Taegis Menu から ケース を選択すると、現在のテナント内のすべてのケースを表示できます。作成者や作成日時、現在のステータス、最終更新日時、関与しているエンティティ、関連する検出・イベント・エージェントの数などの情報が確認できます。
ヒント
ケースは検出トリアージダッシュボードのRecent Casesウィジェットや、Taegis MDRダッシュボードのOngoing Casesウィジェットからもアクセスできます。
ケースのフィルタリング🔗
デフォルトでは、過去1年間に作成され、アーカイブされていないすべてのケースがテーブルに表示されます。ケースのテーブルをフィルタリングするには:
-
ケーステーブル上部のステータスカードを選択します。これにより、ステータスごとのケース数が表示されます。数字はその状態のケース数を示します。
- 合計 — アーカイブ済み以外のすべてのケース。
- オープン — オープンステータスのケース。
- アクティブ — アクティブステータスのケース。
- アクション待ち — アクション待ちステータスのケース。
- 保留中 — 保留中ステータスのケース。
-
テーブル左側の折りたたみ式フィルターメニューを使用して、該当するケースのリストを絞り込みます。
- フィルターを選択すると、テーブルが動的に更新され、結果数も反映されます。
- フィルターメニュー右上の フィルター選択のリセット アイコンを選択すると、すべてのフィルターを一度にクリアできます。
- メニューの開閉状態は、画面遷移時にユーザー設定として保存されます。
-
列ヘッダー右側のメニューアイコンを選択して、テーブルの列を編集・フィルタリングできます。
- アーカイブ済みを表示 フィルターを選択すると、アーカイブ済みおよびクローズ済みのケースがテーブルに表示されます。詳細はアーカイブ済みケースをご覧ください。
ヒント
ケーステーブルでケースタイトルにカーソルを合わせると、ツールチップでフルタイトルが表示されます。
ケースの管理🔗
必要なユーザーロールを持つユーザーは、ケースに対して以下のアクションを実行できます:
注意
以下の内容は、ケースの編集方法に影響します。
- クローズ済み ステータスのいずれかが設定されているケースは、ステータス フィールドおよび アーカイブ アクションを除き、読み取り専用となります。
- アーカイブ済みケースは、アーカイブ解除 アクションを除き、読み取り専用となります。
XDR 内のどこからでもケースタイトルを選択すると、その詳細を表示できます。ケース名の横にある 編集 アイコンを選択して、ケース名を変更できます。
ケースの詳細は、概要、証拠、履歴、エンリッチメント の4つのタブに分かれています。
ヒント
証拠 または 履歴 タブにカーソルを合わせると、サブタブのドロップダウンリストが表示され、任意のセクションに素早く移動できます。
ケースの概要🔗
概要タブには、ケースの基本情報が含まれます:
- ステータス — ケースの現在のステータス。ケースステータスを参照してください。
- 担当者 — 現在ケースが割り当てられているユーザー。
- 優先度 — お客様の組織にとっての重要性や影響度を示します。ケース優先度を参照してください。
- タイプ — ケースのカテゴリ。ケースタイプを参照してください。
- クローズ理由 — ケースをクローズした際に入力された任意の理由。ケースのクローズを参照してください。
- ID — ケースの一意の識別番号(例:INV00001)。
- 作成者 — ケースを最初に作成したユーザー。
- 作成日時 — ケースが作成された日時。
- 更新者 — ケースを最後に更新したユーザー。
- 更新日時 — ケースが最後に更新された日時。
- アーカイブ日時 — ケースがアーカイブされた日時(該当する場合)。
- チケット — お客様の組織やチケットシステム(Zendeskなど)の参照番号。
注意
このフィールドへの手動変更は、プレイブックやチケットプロバイダーと連携した他の自動プロセスによって上書きされる場合があります。
- タグ — ケースに追加できるタグ。
- 主な発見事項 — ケースユーザーが分析内容を記録できるテキストボックス。ケースの主な発見事項を参照してください。
ケースステータス🔗
ケースのステータスは、トリアージ・対応・解決の進行に応じて変化し、チームのワークフローを追跡できます。
| ステータス | 説明 |
|---|---|
| オープン | ケースが作成されました。 |
| アクティブ | ケースが進行中です。 |
| アクション待ち | ケースを継続するために追加のアクションが必要です。アクション待ちへの変更を参照してください。 |
| 保留中 | ケースが一時停止されています。 |
| クローズ済み:セキュリティインシデントを確認 | お客様のシステムやデータが侵害された、または保護措置が失敗した場合。ケースは完了です。 |
| クローズ済み:承認されたアクティビティ | アクティビティが承認済みまたは想定内の場合。ケースは完了です。 |
| クローズ済み:脅威を抑制済み | セキュリティインシデントに関連する脅威がセキュリティコントロールによって既に抑制されています。ケースは完了です。 |
| クローズ済み:脆弱性の対象外 | 対象システムが該当する脆弱性の影響を受けないため、セキュリティインシデントには該当しません。ケースは完了です。 |
| クローズ済み: 誤検知の検出 | 検出が示したアクティビティは発生していません。これはセキュリティインシデントではないため、誤検知としてケースをクローズします。 |
| クローズ済み:原因不明 | アクティビティの根本原因が特定できず、追加のアクティビティも検知されていません。ケースは完了です。 |
| クローズ済み:情報提供 | アクティビティの分析により特筆すべき発見事項はありませんでした。ケースは完了です。 |
注意
ケースはトリアージ中に ドラフト ステータスとなる場合があり、この間はXDRのケース一覧からは表示されません。エスカレーションの必要性が確認されると、ドラフト ステータスが解除され、ケースがエスカレーションされて表示されます。
ヒント
Taegis MDR を契約している場合、Taegis MDRダッシュボードはケースの解決状況に基づいて統計情報を生成します。
ケース優先度🔗
ケースの優先度を使用して、組織にとっての重要性や影響度を強調し、対応の優先順位を決定します。
| 優先度 | 説明 |
|---|---|
| 重大 | 即時対応が必要な差し迫った脅威。ランサムウェアの発生、攻撃者による手動操作、データ流出、認証情報のダンプ、内部ドメインやネットワークの列挙、永続化の作成・実行などが該当します。 |
| 高 | 迅速な対応が必要な重要なアクティビティ。例:ホスト感染、認証情報の窃取、脆弱性の悪用成功など。 |
| 中 | 影響が拡大する可能性のあるアクティビティ。例:ログイン失敗、脆弱性スキャンなど。 |
| 低 | 影響が少ないと考えられるアクティビティ。例:インスタントメッセージ、アドウェア、ポートスキャンなど。 |
ケースタイプ🔗
組織で実施しているケースの種類を分類します。
| タイプ | 説明 |
|---|---|
| セキュリティ分析 | XDR の検出から特定されたケースのデフォルトタイプです。 |
| インシデント対応 | インシデント対応エンゲージメントに関連する証拠やケース詳細の収集に使用します。 |
| 脅威ハンティング | 未特定・潜在的な脅威の調査に使用します。 |
| OTケース | OT関連のケースに使用します。 |
| 情報提供 | 情報伝達のみを目的とします。このタイプのケースはセキュリティインシデントを示すものではありません。 |
Secureworksは、Secureworksユーザー専用の以下のケースタイプも使用する場合があります。
| タイプ | 説明 |
|---|---|
| Taegis MDR 脅威ハンティング | Taegis MDR サービスによる月次の事前対応型脅威ハンティング。 |
| CTU 脅威ハンティング | Secureworks Counter Threat Unit (CTU™) による脅威ハンティング。 |
| Taegis MDR Elite 脅威ハンティング | Elite Threat Hunting Serviceの一部として使用。 |
| Secureworks インシデント対応 | Secureworks IRへのエスカレーション自動化に使用。 |
| Unlimited Response | Taegis MDR 契約者向けUnlimited Responseの一部として使用。 |
| Taegis MDR OTケース | Taegis MDR for OTサービスの一部としてOT関連ケースに使用。 |
ケースの主な発見事項🔗
主な発見事項のテキストボックスは、ケースの分析内容を記録するためのスペースです。編集 を選択して、ケース進行中に独自のレポートを作成できます。
新規ケース作成時、主な発見事項を空欄にするか、セキュリティ分析テンプレートを選択できます。このテンプレートを選択すると、以下のセクションが自動入力されます:
- インシデント概要
- 推奨事項
- 技術的詳細
- 参考情報
ヒント
主な発見事項はMarkdown記法に対応しているため、ケースや発見事項の書式設定が容易です。
ケースの証拠🔗
証拠タブには、ケースに関連するすべてのドキュメントがまとめて表示され、以下のサブタブが含まれます:
- エンティティ — ケースに含まれるイベントから抽出されたすべてのエンティティ。エンティティは、インシデントに関与したデータ(ユーザー名、ホスト名、IPアドレス、ファイルなど)です。エンティティを参照してください。
- 検出 — ケースに追加された検出。ケース開始時に使用された最初の検出にはGenesis Detectionを示すフラグアイコンが付きます。
-
イベント — ケースに追加されたイベント。ケース開始時に使用された最初のイベントにはGenesis Eventを示すフラグアイコンが付きます。
注意
ケースに追加されたイベントは、さまざまな列でフィルタリングやソートが可能です。
-
エージェント — ケース内の検出やイベントの影響を受けたデバイス。
-
検索 — ケースに紐づく検索クエリ。選択すると検索が開きます。
注意
ケースから検索クエリを削除しても、検索クエリ自体は削除されず、リンクが解除されるだけです。
-
添付ファイル — ケースに関連するファイル添付の閲覧・管理(最大2GB)。
エンティティ🔗
エンティティサブタブのテーブルから、エンティティ名を選択すると、右側にエンティティ詳細のサイドドロワーが開きます。エンティティ詳細には、タイプに応じて初回検出日時・最終検出日時、関連エンティティ、関連検出、脅威インテリジェンス(利用可能な場合)などの追加情報が表示されます。サイドドロワーの 新しいタブ アイコンを選択すると、エンティティ詳細ページが開きます。
ヒント
ケース右上の エンティティグラフ を選択すると、エンティティグラフが起動し、ケースに関連するエンティティやその関係性・詳細を可視的に調査できます。エンティティグラフによる詳細調査を参照してください。
エンティティの並べ替えとフィルタリング🔗
エンティティテーブルをカスタマイズするには:
- 列ヘッダー横のメニューアイコンを選択して、列の固定・自動サイズ調整・リセットができます。
- 列アイコンを選択して、テーブルに表示する列を選択できます。
エンティティへの対応アクションの実行🔗
テナントで関連する自動化が設定されている場合、エンティティに対して対応アクションを実行できます。エンティティテーブルのアクション列またはエンティティ詳細サイドドロワーから縦三点リーダーを選択してください。
ヒント
エンティティグラフからもエンティティへの対応アクションを実行できます。エンティティグラフによる詳細調査を参照してください。
CEL Explorerでエンティティを表示🔗
アクションメニューからCEL Explorerで表示を選択し、Automationsの設定で使用するために、表示されているデータに対してCEL式の結果をテストします。詳細については、CEL Explorerを参照してください。
ケースの履歴🔗
履歴タブには、ケースの履歴に関連するデータがまとめて表示され、以下のサブタブが含まれます:
タイムライン🔗
タイムライン サブタブでは、ケースの検出・イベント・アクションを時系列で表示し、ケースの範囲や進捗を可視化します。
- デフォルトでは、ケース作成30日前から最終更新30日後までのすべての検出・イベント・監査履歴アクションが表示されます。日付/時刻ピッカーで期間を変更できます。
- フィルターを使って、検出、イベント、監査履歴 のアクティビティタイプごとに表示/非表示を切り替えられます。
注意
ケースタイムラインは、新しい検出インターフェースが一般提供された以降に作成された検出のみ対応しています。
監査ログ🔗
監査ログサブタブには、ケースに関連する監査ログのテーブルが表示されます。
実行履歴🔗
実行履歴サブタブには、ケースに対するプレイブック実行の履歴が表示されます。行のタイムスタンプをクリックすると、プレイブック実行ログの詳細サイドドロワーが開きます。
ケースのエンリッチメント🔗
エンリッチメントタブには、そのケースで実行されたエンリッチメントプレイブックインスタンスが表示されます。エントリをクリックすると、プレイブックの出力や実行履歴を確認できます。
エンティティグラフによるケースの詳細調査🔗
ケースに関連するエンティティやその関係性・詳細を深く調査するには、ケース右上の エンティティグラフ を選択して エンティティグラフ を起動します。
ケースへのコメント追加🔗
ケースに対するすべてのコメントは、折りたたみ式サイドバーで閲覧できます。
ケースに自分のコメントを追加するには、以下の手順で操作します:
- ケース詳細ページを開きます。
- 右側のユーティリティトレイにあるコメントアイコンを選択します。
-
メッセージを入力します。
ヒント
ケースコメントの入力欄は、基本的なHTMLタグや絵文字に対応しています。必要に応じて 🙂 , 🤔, 😱 なども利用できます。
ヒント
@ で他のユーザーをメンションすると、XDR 内で通知が送信され、返信を促せます。
Taegis MDR を契約している場合、コメントに @secureworks を追加することで、SecureworksのThreat Hunterチームと直接やり取りできます。これによりサポートチームに通知され、ディスカッションに参加します。
@ メンション付きコメントへの返信時は、新しいコメントの先頭に自動的に適切な @ メンションが追加され、相手に通知が届きます。この自動メンションは不要な場合削除できます。
-
保存 を選択します。
ヒント
ハンドルをドラッグしてコメントパネルの幅を調整できます。
ケースの引き継ぎ🔗
ケースの現在の担当者は 担当者 と呼ばれます。コメント追加やケースの変更を行う他のユーザーは コラボレーター です。担当者とコラボレーターのアバターはケースのヘッダーに表示されます。各ケースには常に1人の担当者がいます。これはお客様の組織のユーザー、またはSecureworksのいずれかです。
特定のユーザーにケースを引き継ぐ方法は2つあります:
担当者の選択🔗
- ケース詳細ページを開きます。
- 現在の担当者名を選択します。
- 担当者を選択します。名前またはメールアドレスで絞り込みが可能です。自分自身、テナント全体、特定ユーザーを選択できます。Taegis MDR 契約者はSecureworksを担当者に指定することも可能です。
- ケースのステータスは アクション待ち に、または自分自身を担当者にした場合は アクティブ になります。新しい担当者にはアプリ内通知および(希望していれば)メールで通知されます。
ケースをアクション待ちに変更🔗
- ケースのステータスドロップダウンリストから アクション待ち を選択します。
- ポップアップモーダルで、アクションを待つユーザーを選択します。
- ケースを割り当て を選択します。
- ケースのステータスが アクション待ち になり、新しい担当者にアプリ内通知および(希望していれば)メールで通知されます。
ケースの共有🔗
テナント内の他のユーザーとケースを共有するには、共有リンクのコピー アイコンを選択して直接URLを取得します。
CEL Explorerでケースを表示🔗
アクションメニューからCEL Explorerで表示を選択し、Automationsの設定で使用するために、表示されているデータに対してCEL式の結果をテストします。詳細については、CEL Explorerを参照してください。
ケースのエクスポート🔗
すべてをCSVでエクスポート🔗
ケーステーブルのCSVファイルをダウンロードするには、以下の手順で操作します:
- Taegis Menu から ケース を選択してケースページを表示します。
-
必要に応じてテーブルをフィルタリングします。
ヒント
列内容でフィルタリングは可能ですが、最終的なCSVファイルにはすべての列が含まれます。
-
アクション → すべてをCSVでエクスポート を選択します。ダウンロードが準備できると、データエクスポートテーブルに表示されます。
選択したものをCSVでエクスポート🔗
テーブルの単一行のCSVファイルをダウンロードするには、該当行のアクション列からエクスポートアイコンを選択します。
複数行をエクスポートするには、以下の手順で操作します:
- Taegis Menu から ケース を選択してケースページを表示します。
-
必要に応じてテーブルをフィルタリングします。
ヒント
列内容でフィルタリングは可能ですが、最終的なCSVファイルにはすべての列が含まれます。
-
エクスポートしたい行の左側のチェックボックスを選択します。
- アクション → 選択したものをCSVでエクスポート を選択します。ダウンロードが準備できると、データエクスポートテーブルに表示されます。
ケース詳細をPDFでエクスポート🔗
個別ケースの詳細をPDFファイルでエクスポートすることもできます。手順は以下の通りです:
- Taegis Menu から ケース を選択し、エクスポートしたいケース名を選択します。
-
ケース詳細ページから アクション → PDFでエクスポート を選択します。
ケースのPDFエクスポート -
レポートに トップレベルの発見事項 および/または 主な発見事項 を含めるか選択し、印刷 を選択します。
- ダウンロードが準備できると、完了したレポートに表示されます。
アーカイブ済みケース🔗
不要になったケースや誤って作成されたケースはアーカイブできます。
アーカイブ済みケースを表示するには:
- フィルターメニューから アーカイブ済みを表示 を選択し、アーカイブ済みおよびクローズ済みのケースをテーブルに表示します。
- ステータスカードを使って状態ごとに表示できます:
- アーカイブ済み — アーカイブされたケース。
- クローズ済み — クローズコードのいずれかでクローズされたケース。
- フィルターメニューを使ってさらに絞り込みが可能です。
注意
以下の内容は、ケースの編集方法に影響します。
- クローズ済み ステータスのいずれかが設定されているケースは、ステータス フィールドおよび アーカイブ アクションを除き、読み取り専用となります。
- アーカイブ済みケースは、アーカイブ解除 アクションを除き、読み取り専用となります。
個別ケースのアーカイブ🔗
重要
ケースはアーカイブ前にクローズする必要があります。
個別のクローズ済みケースをアーカイブする方法は2つあります:
-
ケース詳細ページから アクション → アーカイブ を選択します。
詳細から個別ケースをアーカイブ -
ケーステーブルのアクション列から アーカイブ アイコンを選択します。
テーブルから個別ケースをアーカイブ
複数ケースのアーカイブ🔗
重要
ケースはアーカイブ前にクローズする必要があります。
ケーステーブルから複数のケースをアーカイブするには、以下の手順で操作します:
- Taegis Menu から ケース を選択してケースページを表示します。
- アーカイブしたいケースのチェックボックスを選択します。
- テーブル上部の アクション → 選択したケースをアーカイブ を選択します。ケースがアーカイブされます。
アーカイブ済みケースのリストア🔗
個別ケースのリストア🔗
個別のアーカイブ済みケースをリストアする方法は2つあります:
-
ケース詳細ページから アクション → アンアーカイブ を選択します。
詳細からアーカイブ済みケースをリストア -
ケーステーブルのアクション列から アンアーカイブ アイコンを選択します。
テーブルからアーカイブ済みケースをリストア
複数ケースのリストア🔗
複数のアーカイブ済みケースをリストアするには:
- Taegis Menu から ケース を選択してケースページを表示します。
- フィルターメニュー左側の アーカイブ済みのみ表示 トグルを選択し、すべてのアーカイブ済みケースを表示します。
- リストアしたいケースのチェックボックスを選択します。
- テーブル上部の アクション → 選択したケースをアンアーカイブ を選択します。ケースがリストアされます。
