コンテンツにスキップ

Taegis MDR ダッシュボード🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

Secureworks® Taegis™ MDR ダッシュボードには、セキュリティ管理者が以下を実現できる複数のウィジェットが用意されています。

  • Secureworksが代理で実施している作業の監視
  • Secureworksが提供する価値の把握
  • その価値をCISOに要約・報告

Taegis MDR ダッシュボード

ダッシュボードへのアクセス🔗

Taegis MDR ダッシュボードにアクセスするには、Taegis Menuからダッシュボードを開き、Taegis MDRを選択します。

Taegis MDR サブスクリプションを利用しているテナントのユーザーのみが、Taegis MDR ダッシュボードを閲覧できます。

以下のヒントを参考に、Taegis MDR ダッシュボードを編集してください。

ダッシュボード設定の編集🔗

日付/時刻🔗

Taegis MDR ダッシュボードはマスターの日付/時刻設定を使用しており、すべてのウィジェットの期間を同時に変更できます。

ダッシュボード右上のドロップダウン日付/時刻ピッカーで期間を変更します。デフォルトの期間は72時間ですが、カスタム期間を選択すると上書きされます。最後に選択した期間が新しいデフォルトとなります。

日付/時刻ピッカー

注意

検出は任意の期間で検索できます。

ただし、イベント データは異なる扱いとなり、31日以内の任意の期間で検索できます。イベントデータは、詳細検索で検出以外のTypeを選択するか、クイックサーチから検索できます。これらの方法でイベントデータを検索する場合、カスタム日付ピッカーで検索期間を指定できます。このカスタム日付ピッカーでは、アカウントがデータを保持している任意の開始日を選択できます。ただし、検索期間の終了日を選択する際は、開始日と終了日の差(日数)が31日以内である必要があることに注意してください。

トレンドラインとパーセンテージ🔗

複数のウィジェットでパーセンテージとトレンドラインが表示されます。パーセンテージは選択した期間と直前の期間を比較します。トレンドラインは、選択した期間と直前3期間を可視化し、追加のコンテキストを提供します。

たとえば、Event Pipelineウィジェットの期間が直近72時間の場合、数値はその前の3日間と比較され、トレンドラインは直近12日間を示します。

負の異常値 異常なし 正の異常値
現在の値がこの期間と前期間の間で設定されたしきい値(±2標準偏差)を超えており、その変化が負の異常値です。 現在の値がこの期間と前期間の間で設定されたしきい値(±2標準偏差)内にあり、異常はありません。 現在の値がこの期間と前期間の間で設定されたしきい値(±2標準偏差)を超えており、その変化が正の異常値です。

ウィジェット🔗

Event Pipeline🔗

Event Pipelineウィジェットは、Taegis MDRによるイベントフィルタリングの内訳を、以下の指標で強調表示します。

  • 検出 — 選択した期間中に生データイベントからトリガーされた検出の数
  • 新規ケース — 選択した期間中にこれらの検出から作成された新しいケースの数
  • 引き継ぎ済み — 選択した期間中にSecureworksからお客様のセキュリティチームに追加調査や対応のため送信されたケースの数(脅威ハンティングタイプのケースは除く)

Event Pipelineウィジェット

各指標の下には、現在表示中の期間と過去の期間を比較したパーセンテージとトレンドラインが表示されます。(それぞれの意味についてはトレンドラインとパーセンテージを参照してください。)指標のいずれかを選択すると、検出やケースの詳細情報が表示されるサイドドロワーが開きます。

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションを参照してください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

進行中のケース🔗

進行中のケースウィジェットは、現在オープン、アクティブ、またはアクション待ちのケースを表示します。

進行中のケースウィジェット

  • 任意のケースを選択すると、そのケースの詳細ページに移動します。
  • デフォルトでは、このウィジェットは古い順にケースが並びます。
  • 必要に応じて並び順を編集できます。
  • フィルターに一致する上位5件のオープンケースがTaegis MDR ダッシュボードに表示されます。すべて表示を選択すると、サイドドロワーで一致するリスト全体を確認できます。
  • 更新アイコンを選択するとリストを再読み込みします。

ヒント

進行中のケースを誰かに割り当てたい場合は、ケースの引き継ぎを参照してください。

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションを参照してください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

平均対応時間🔗

平均対応時間ウィジェットは、イベント対応の迅速性に対するTaegis MDRの影響を、以下の3つの指標で強調表示します。

  • 引き継ぎ — Secureworksアナリストがケースの担当となってから、お客様の組織に初回引き継ぎされるまでの平均経過時間
  • 確認 — Secureworksがケースを初回引き継ぎしてから、お客様の組織の誰かが初めて閲覧するまでの平均経過時間
  • 解決 — Secureworksがケースを初回引き継ぎしてから、そのケースが解決されるまでの平均経過時間。ケースが再オープンされた場合は、初回引き継ぎから直近の解決までの時間で計算されます。

対応時間ウィジェット

各指標の下には、現在表示中の期間と過去の期間を比較したパーセンテージが表示されます。(それぞれの意味についてはトレンドラインとパーセンテージを参照してください。)指標のいずれかを選択すると、イベント、検出、またはケースの詳細情報が表示されるサイドドロワーが開きます。

散布図🔗

指標のいずれかを選択すると、追加情報が表示されるサイドドロワーが開きます。ここには、個々の対応時間と平均対応時間がサービスレベル合意(SLA)とどのように対応しているかを示す散布図が含まれます。グラフの下には、すべての一致するケースまたは検出のリストが表示されます。

散布図の読み方のヒント:

  • X軸は完了日を表示します。
  • Y軸は対応時間(分)を表示します。
  • 紫色の点はSLAを満たした検出またはケースを示します。
  • 赤色の点はSLAを超過した検出またはケースを示します。
  • 点にカーソルを合わせると、そのケースの引き継ぎ日時や担当者などの詳細が表示されます。
  • 赤い線はSLAを示します。
  • 黒の実線は現在表示中の期間の平均対応時間を示します。
  • 黄色の線は現在表示中の期間の平均対応時間で、異常値(前期間から大幅な増加)があったことを示します。
  • グラフ下部のスクロールバーのハンドルをドラッグして、任意の期間を拡大表示できます。拡大後は、ハイライトされた領域をクリック&ドラッグして期間を移動できます。
  • 期間スクロールバーを調整すると、一致するケースや検出のリストも更新されます。

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションを参照してください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

完了したケース🔗

完了したケースウィジェットは、選択した期間の完了したケースの総数と、選択期間と前期間を比較したパーセンテージを表示します。また、ケースを以下のカテゴリに分類した棒グラフも表示されます。

  • 誤検知 — アクティビティが誤検知と判断され、セキュリティインシデントではなかったケースの数
  • セキュリティインシデントを確認セキュリティインシデントを確認 のステータスでクローズされたケースの数。脅威への対応が必要だったケース数の指標となります。
  • 原因不明 — アクティビティの根本原因が特定できず、追加のアクティビティも検出されなかったケースの数
  • 不明 — 上記のいずれにも該当しないケースの数。これには、Secureworks® Taegis™ XDRで現在のクローズコードが利用可能になる前の古いケースが含まれる場合があります。

いずれかのバーを選択すると、そのカテゴリに一致するケースのリストがサイドドロワーで表示されます。リストにはステータスも含まれます。

完了したケースウィジェット

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションを参照してください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

注意

完了したケースには、セキュリティインシデントを確認誤検知の2つのサブウィジェットも含まれます。

セキュリティインシデントを確認🔗

セキュリティインシデントを確認は、完了したケースのサブウィジェットであり、解決済みのセキュリティインシデントのうち、どれが組織にとって最も重要だったかの概要を提供します。選択した期間に「セキュリティインシデントを確認」クローズコードとなったケースの数と、それがどのMITRE ATT&CK™ 初期アクセスベクターに該当するか(該当する場合)を表示します。また、トレンド棒グラフとパーセンテージで、セキュリティインシデントを確認した件数を直近4期間と比較し、全体および初期アクセスベクターごとに表示します。

重要

大きな数字は「セキュリティインシデントを確認」クローズコードのケース数を表示します。初期アクセスベクターは必ずしもケースに紐づくとは限らず、複数紐づく場合もあります。そのため、初期アクセスベクターの合計が「セキュリティインシデントを確認」ケースの総数を上回ったり下回ったりすることがあります。

セキュリティインシデントを確認ウィジェット

初期アクセスベクター情報🔗

初期アクセスベクター指標のいずれかを選択すると、そのカテゴリのセキュリティインシデントの詳細情報が表示されるサイドドロワーが開きます。ここには、選択した期間のセキュリティインシデントの棒グラフが含まれます。

このグラフの読み方のヒント:

  • X軸はセキュリティインシデントの日付を表示します。
  • Y軸はセキュリティインシデントの件数を表示します。
  • 棒にカーソルを合わせると、その期間のセキュリティインシデントの件数が表示されます。
  • 黄色または緑色の棒は、前期間と比較してセキュリティインシデント件数が異常値だったことを示します。棒にカーソルを合わせるとパーセンテージの変化が表示されます。
  • グラフ下部のスクロールバーのハンドルをドラッグして、任意の期間を拡大表示できます。
  • 拡大後は、ハイライトされた領域をクリック&ドラッグして期間を移動できます。
  • 棒グラフ下の一致するケースリストは、期間スクロールバーを調整すると更新されます。タイトルを選択すると、そのケースの詳細ページが開きます。

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションを参照してください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

誤検知🔗

誤検知は、完了したケースのサブウィジェットであり、選択した期間の誤検知件数を表示します。発生元となった検知器ごとの内訳も表示されます。また、誤検知件数を直近3期間と比較したトレンド棒グラフとパーセンテージ、さらに当期間の検知器タイプごとの発生割合を示す円グラフも表示されます。

重要

大きな数字は「誤検知」クローズコードのケース数を表示します。円グラフに表示される検知器数は、ケースに紐づく発生元検知が「誤検知」と分類されたものを基に計算されます。1つのケースに1件から_n_件の発生元検知が紐づくため、検知器の合計が「誤検知」ケースの総数を上回ったり下回ったりすることがあります。

ヒント

トレンドデータとパーセンテージの違いについては、トレンドラインとパーセンテージを参照してください。

誤検知

総ハンティングリード調査数(Elite Threat Huntingのみ)🔗

注意

このウィジェットはElite Threat Huntingのお客様のみご利用いただけます。

総ハンティングリード調査数ウィジェットは、選択した期間中にトリアージされたすべてのオープン検出の円グラフを表示し、ステータスごとに分類します。

  • 検知(不正な活動) — セキュリティインシデントが確認されたもの。組織のシステムやデータが侵害された、または保護措置が失敗したことを示します。
  • 検知(不正でない) — アクティビティは正しく特定されたが、対象システムやデータが侵害されていない、または対策済みであるもの
  • 誤検知 — 誤って特定された非悪意のアクティビティ
  • 対応不要 — アクティビティ自体は有効だが、対応が不可能な場合

円グラフの各セグメントにカーソルを合わせると、各ステータスの合計件数が表示されます。

総ハンティングリード調査数ウィジェット

ハンティングサマリー(Elite Threat Huntingのみ)🔗

注意

このウィジェットはElite Threat Huntingのお客様のみご利用いただけます。

ハンティングサマリーウィジェットは、以下の脅威ハンティング指標の件数を表示します。

  • リード — さらなる調査が必要な潜在的な不正アクティビティを示す、信頼度の低いイベントまたはイベントの組み合わせの総数
  • ケース — 脅威ハンティング、Taegis MDR 脅威ハンティング、Elite Threat Hunting 脅威ハンティング、またはCTU脅威ハンティングとして分類されたケースの総数
  • 実施検索数 — Secureworksアナリストが実施した検索の総数
  • 抑止済み検出 — 検出抑止ルールにより抑止された検出の総数

各指標の下には、現在表示中の期間と過去の期間を比較したパーセンテージとトレンドラインが表示されます。(それぞれの意味についてはトレンドラインとパーセンテージを参照してください。)

ハンティングサマリーウィジェット

エクスポートオプション🔗

ダッシュボードをPNGでエクスポート🔗

ダッシュボード全体をPNG画像ファイルとしてエクスポートするには、ダッシュボード右上のアクションを選択し、PNGとしてダウンロードを選びます。ファイルは自動的にダウンロードされます。

ダッシュボードをPNGでエクスポート

ダッシュボードデータのエクスポート🔗

ダッシュボードのすべてのデータをCSVまたはJSONファイルとしてエクスポートするには、ダッシュボード右上のアクションを選択し、エクスポートデータのCSVまたはJSONオプションを選択してください。

ダッシュボードデータのエクスポート

ウィジェットをPNGでエクスポートする🔗

個別のウィジェットをPNG画像ファイルとしてエクスポートするには、対象のウィジェット右上にある縦の三点リーダーを選択し、PNGとしてダウンロード を選びます。ファイルは自動的にダウンロードされます。

ウィジェットをPNGでエクスポート

ヒント

一部ウィジェットのドリルダウン結果もPNGでエクスポートできます。

ウィジェットデータのエクスポート🔗

ウィジェットデータをCSVまたはJSONファイルとしてエクスポートするには、対象のウィジェット右上にある縦の三点リーダーを選択し、エクスポートデータのCSVまたはJSONオプションを選択してください。

ウィジェットデータのエクスポート

エクスポートテーブルデータ🔗

Taegis MDR の指標をドリルダウンした際、サイドドロワーデータテーブルのCSVをダウンロードできます。

  1. ウィジェットのいずれかの指標を選択し、詳細情報が表示されるサイドドロワーを開きます。
  2. アクションメニューを開き、CSVとしてエクスポートまたはJSONとしてエクスポートを選択して、テーブル全体のデータをダウンロードします。
  3. または、チェックマークで個別の行を選択し、アクションメニューから選択したものをCSVとしてエクスポートまたはJSONとしてエクスポートを選択します。

テーブルデータのエクスポート