コンテンツにスキップ

Taegis MDR ダッシュボード🔗

注意

Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

Secureworks® Taegis™ MDR ダッシュボードには、セキュリティ管理者が以下を実現できる複数のウィジェットが搭載されています。

  • Secureworksが代理で実施している作業の監視
  • Secureworksが提供する価値の把握
  • その価値をCISOに要約・報告

Taegis MDR ダッシュボード

ダッシュボードへのアクセス🔗

Taegis MDR ダッシュボードにアクセスするには、Taegis Menuからダッシュボードを開き、Taegis MDRを選択してください。

Taegis MDR サブスクリプションを利用しているテナントのユーザーのみが、Taegis MDR ダッシュボードを閲覧できます。

以下のヒントを参考に、Taegis MDR ダッシュボードの設定を編集できます。

ダッシュボード設定の編集🔗

日付/時刻🔗

Taegis MDR ダッシュボードはマスターの日付/時刻設定を使用しており、すべてのウィジェットの期間を同時に変更できます。

ダッシュボード右上のドロップダウン日付/時刻ピッカーで期間を変更してください。デフォルトの期間は72時間ですが、カスタム期間を選択すると上書きされます。最後に選択した期間が新しいデフォルトとなります。

日付/時刻ピッカー

注意

検出は任意の期間で検索できます。

ただし、イベント データは異なる扱いとなり、31日以内の任意の期間で検索できます。イベントデータは、詳細検索で検出以外のTypeを選択するか、クイックサーチから検索できます。これらの方法でイベントデータを検索する場合、カスタム日付ピッカーで検索期間を指定できます。このカスタム日付ピッカーでは、アカウントがデータを保持している任意の開始日を選択できます。ただし、検索期間の終了日を選択する際は、開始日と終了日の差(日数)が31日以内である必要があることにご注意ください。

トレンドラインとパーセンテージ🔗

複数のウィジェットでパーセンテージとトレンドラインが表示されます。パーセンテージは、選択した期間と直前の期間を比較します。トレンドラインは、選択した期間とその前の3期間を描画し、追加のコンテキストを提供します。

たとえば、Event Pipelineウィジェットの期間が直近72時間の場合、数値は直前の3日間と比較され、トレンドラインは直近12日間を示します。

負の異常値 異常なし 正の異常値
現在の値がこの期間と前期間の間で設定されたしきい値(±2標準偏差)を超えており、その変化が負の異常値です。 現在の値がこの期間と前期間の間で設定されたしきい値(±2標準偏差)内にあり、異常はありません。 現在の値がこの期間と前期間の間で設定されたしきい値(±2標準偏差)を超えており、その変化が正の異常値です。

ウィジェット🔗

Event Pipeline🔗

Event Pipelineウィジェットは、Taegis MDRによるイベントフィルタリングの内訳を、以下の指標で強調表示します。

  • 検出 — 選択した期間中に生のイベントからトリガーされた検出の数
  • 新規ケース — 選択した期間中にこれらの検出から作成された新しいケースの数
  • 引き継ぎ済み — 選択した期間中にSecureworksからお客様のセキュリティチームに追加調査や対応のため送信されたケースの数(脅威ハンティングタイプのケースは除く)

Event Pipelineウィジェット

各指標の下には、現在表示中の期間と過去の期間を比較したパーセンテージとトレンドラインが表示されます。(それぞれの意味についてはトレンドラインとパーセンテージをご参照ください。)指標のいずれかを選択すると、検出ケースの詳細情報がサイドドロワーで表示されます。

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションをご参照ください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

進行中のケース🔗

進行中のケースウィジェットは、現在オープン、アクティブ、またはアクション待ちのケースを表示します。

進行中のケースウィジェット

  • 任意のケースを選択すると、そのケースの詳細ページに移動します。
  • デフォルトでは、このウィジェットは古い順にケースが並びます。
  • 必要に応じて並び順を編集できます。
  • フィルターに一致する上位5件のオープンケースがTaegis MDR ダッシュボードに表示されます。すべて表示を選択すると、サイドドロワーで一致するリスト全体を確認できます。
  • 更新アイコンを選択するとリストを再読み込みします。

ヒント

進行中のケースを誰かに割り当てたい場合は、ケースの引き継ぎをご参照ください。

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションをご参照ください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

平均対応時間🔗

平均対応時間ウィジェットは、イベント対応の迅速性に対するTaegis MDRの影響を、以下の3つの指標で強調表示します。

  • 引き継ぎ — Secureworksアナリストがケースを担当してから、お客様組織に初回引き継ぎされるまでの平均経過時間
  • 確認 — Secureworksがケースを初回引き継ぎしてから、お客様組織の誰かが初めて閲覧するまでの平均経過時間
  • 解決 — Secureworksがケースを初回引き継ぎしてから、そのケースが解決されるまでの平均経過時間。ケースが再オープンされた場合は、初回引き継ぎから直近の解決までの時間で計算されます。

対応時間ウィジェット

各指標の下には、現在表示中の期間と過去の期間を比較したパーセンテージが表示されます。(それぞれの意味についてはトレンドラインとパーセンテージをご参照ください。)指標のいずれかを選択すると、イベント検出ケースの詳細情報がサイドドロワーで表示されます。

散布図チャート🔗

指標のいずれかを選択すると、追加情報が表示されるサイドドロワーが開きます。ここには、個々の対応時間と平均対応時間がサービスレベル合意(SLA)とどのように対応しているかを示す散布図チャートが含まれます。チャートの下には、すべての一致するケースまたは検出のリストが表示されます。

散布図チャートの読み方のヒント:

  • X軸は完了日を表示します。
  • Y軸は対応時間(分)を表示します。
  • 紫色の点はSLAを満たした検出またはケースを示します。
  • 赤色の点はSLAを超過した検出またはケースを示します。
  • 点にカーソルを合わせると、そのケースの引き継ぎ日時や担当者などの詳細が表示されます。
  • 赤い線はSLAを示します。
  • 実線の黒い線は、現在表示中の期間の平均対応時間を示します。
  • 黄色い線は、現在表示中の期間の平均対応時間が異常値(前期間から大幅に増加)であることを示します。
  • チャート下部のスクロールバーのハンドルをドラッグして、任意の期間を拡大できます。拡大後は、ハイライトされた領域をクリック&ドラッグして期間を移動できます。
  • スクロールバーを調整すると、ケース検出のリストも更新されます。

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションをご参照ください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

完了したケース🔗

完了したケースウィジェットは、選択した期間の完了ケースの総数と、選択期間と前期間を比較したパーセンテージを表示します。また、以下のカテゴリ別にケースを分類した棒グラフも表示されます。

  • 誤検知 — アクティビティが誤検知と判断され、セキュリティインシデントではなかったケースの数
  • セキュリティインシデントを確認セキュリティインシデントを確認 のステータスでクローズされたケースの数。脅威への対応が必要だったケース数の指標となります。
  • 原因不明 — アクティビティの根本原因が特定できず、追加のアクティビティも検出されなかったケースの数
  • 不明 — 上記いずれにも該当しないケースの数。これには、Secureworks® Taegis™ XDRで現在のクローズコードが利用可能になる前の古いケースが含まれる場合があります。

いずれかのバーを選択すると、そのカテゴリに該当するケースのリストがサイドドロワーで表示され、ステータスも確認できます。

完了したケースウィジェット

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションをご参照ください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

注意

完了したケースには、セキュリティインシデントを確認および誤検知の2つのサブウィジェットがあります。

セキュリティインシデントを確認🔗

セキュリティインシデントを確認は、完了したケースのサブウィジェットであり、解決済みのセキュリティインシデントのうち、組織にとって最も重要だったものの概要を提供します。選択した期間に「セキュリティインシデントを確認」クローズコードが付与されたケースの数と、それらが(該当する場合)どのMITRE ATT&CK™ 初期アクセスベクターにマッピングされるかを表示します。また、トレンド棒グラフと、前4期間との比較パーセンテージも表示されます(全体および初期アクセスベクターごと)。

重要

大きな数字は「セキュリティインシデントを確認」クローズコードが付与されたケースの数を示します。初期アクセスベクターは必ずしもケースに関連付けられているとは限らず、複数関連付けられる場合もあります。そのため、これら初期アクセスベクターの合計は「セキュリティインシデントを確認」ケースの総数を上回ったり下回ったりする場合があります。

セキュリティインシデントを確認ウィジェット

初期アクセスベクター情報🔗

初期アクセスベクター指標のいずれかを選択すると、そのカテゴリのセキュリティインシデントに関する詳細情報がサイドドロワーで表示されます。これには、選択した期間のセキュリティインシデントの棒グラフが含まれます。

このチャートの読み方のヒント:

  • X軸はセキュリティインシデントの日付を表示します。
  • Y軸はセキュリティインシデントの件数を表示します。
  • 棒にカーソルを合わせると、その期間のセキュリティインシデント数が表示されます。
  • 黄色または緑色の棒は、前期間と比較してセキュリティインシデント数が異常値であったことを示します。棒にカーソルを合わせるとパーセンテージの変化が表示されます。
  • チャート下部のスクロールバーのハンドルをドラッグして、任意の期間を拡大できます。
  • 拡大後は、ハイライトされた領域をクリック&ドラッグして期間を移動できます。
  • 棒グラフ下のケースリストは、スクロールバーの調整に応じて更新されます。タイトルを選択すると、そのケースの詳細ページが開きます。

データのエクスポート🔗

ウィジェットデータのエクスポートについては、エクスポートオプションをご参照ください。

ヒント

Taegis MDR ダッシュボードの指標をドリルダウンした際、サイドドロワーデータテーブルのCSVもダウンロードできます。

誤検知🔗

誤検知は、完了したケースのサブウィジェットであり、選択した期間の誤検知数を表示します。発生元となった検知器ごとの内訳も提供されます。また、前3期間との比較パーセンテージとトレンド棒グラフも表示されます。さらに、現在の期間における検知器タイプ別の発生割合を示す円グラフも表示されます。

重要

大きな数字は「誤検知」クローズコードが付与されたケースの数を示します。円グラフに表示される検知器数は、ケースに関連付けられた発生元検出が「誤検知」と分類されたものに基づいて計算されます。ケースには1件から_n_件の発生元検出が紐づくため、検知器の合計は「誤検知」ケースの総数を上回ったり下回ったりする場合があります。

ヒント

トレンドデータとパーセンテージの違いについては、トレンドラインとパーセンテージをご参照ください。

誤検知

総ハンティングリード調査数(Elite Threat Huntingのみ)🔗

注意

このウィジェットはElite Threat Huntingのお客様のみご利用いただけます。

総ハンティングリード調査数ウィジェットは、選択した期間中にトリアージされたすべてのオープン検出の円グラフを表示し、ステータスごとに分類します。

  • 検知(不正な活動) — セキュリティインシデントが確認されたもの。組織のシステムやデータが侵害された、または保護策が失敗したことを示します。
  • 検知(不正でない) — アクティビティは正しく特定されたが、対象システムやデータが侵害されていない、または対策済みであるもの
  • 誤検知 — 誤って特定された非悪意的なアクティビティ
  • 対応不要 — アクティビティは有効だが、対応が不可能な場合

円グラフの各セグメントにカーソルを合わせると、各ステータスの合計件数が表示されます。

総ハンティングリード調査数ウィジェット

ハンティングサマリー(Elite Threat Huntingのみ)🔗

注意

このウィジェットはElite Threat Huntingのお客様のみご利用いただけます。

ハンティングサマリーウィジェットは、以下の脅威ハンティング指標の件数を表示します。

  • リード — さらなる調査が必要な潜在的な不正アクティビティを示す、信頼度の低いイベントまたはその組み合わせの総数
  • ケース — 脅威ハンティング、Taegis MDR脅威ハンティング、Elite Threat Hunting脅威ハンティング、またはCTU脅威ハンティングとして分類されたケースの総数
  • 実施された検索 — Secureworksアナリストによって実施された検索の総数
  • 抑止済み検出 — 検知抑止ルールによって抑止された検出の総数

各指標の下には、現在表示中の期間と過去の期間を比較したパーセンテージとトレンドラインが表示されます。(それぞれの意味についてはトレンドラインとパーセンテージをご参照ください。)

ハンティングサマリーウィジェット

エクスポートオプション🔗

ダッシュボードをPNGでエクスポート🔗

ダッシュボード全体をPNG画像ファイルとしてエクスポートするには、ダッシュボード右上のアクションを選択し、PNGとしてダウンロードを選びます。ファイルは自動的にダウンロードされます。

ダッシュボードをPNGでエクスポート

ダッシュボードデータのエクスポート🔗

ダッシュボードのすべてのデータをCSVまたはJSONファイルとしてエクスポートするには、ダッシュボード右上のアクションを選択し、エクスポートデータのCSVまたはJSONオプションを選択してください。

ダッシュボードデータのエクスポート

ウィジェットをPNGでエクスポートする🔗

個別のウィジェットをPNG画像ファイルとしてエクスポートするには、対象のウィジェット右上にある縦の三点リーダーを選択し、PNGとしてダウンロード を選びます。ファイルは自動的にダウンロードされます。

ウィジェットをPNGでエクスポート

ヒント

一部ウィジェットのドリルダウン結果もPNGでエクスポートできます。

ウィジェットデータのエクスポート🔗

ウィジェットデータをCSVまたはJSONファイルとしてエクスポートするには、対象のウィジェット右上にある縦の三点リーダーを選択し、エクスポートデータのCSVまたはJSONオプションを選択してください。

ウィジェットデータのエクスポート

テーブルデータのエクスポート🔗

Taegis MDR の指標をドリルダウンした際、サイドドロワーデータテーブルのCSVをダウンロードできます。

  1. ウィジェットのいずれかの指標を選択し、詳細情報が表示されるサイドドロワーを開きます。
  2. アクションメニューを開き、CSVとしてエクスポートまたはJSONとしてエクスポートを選択して、テーブル全体のデータをダウンロードします。
  3. または、チェックマークで個別の行を選択し、アクションメニューから選択したものをCSVとしてエクスポートまたはJSONとしてエクスポートを選択します。

テーブルデータのエクスポート