コンテンツにスキップ

検出の詳細🔗

注意

Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

Secureworks® Taegis™ XDR は、検知機からのイベントまたは複数のイベントを受け取り、検出 に変換します。検出の詳細を確認し、さらなる調査が必要かどうかを判断してください。

検出の管理🔗

必要なロールを持つユーザーは、検出に対して以下のアクションを実行できます。

検出の詳細を表示🔗

XDR 内のどこからでも検出タイトルを選択すると、その詳細を表示できます。

検出ページのようなアプリケーションの一部では、検出の主要な詳細を表示するプレビューサイドパネルが開きます。これにより、場所やフィルターを失うことなく複数の検出を続けて閲覧できます。

サイドパネルで検出を表示

検出の全詳細を表示するには、検出タイトルを選択してください。または、 アイコンを選択して新しいタブで詳細を開くこともできます。

XDR の他のエリア、例えば 最近の検出ウィジェット では、自動的に検出の詳細ページが開きます。

注意

RESEARCH で始まる検出は、その検知機または検出を生成したメカニズムがリサーチモードで動作していることを示しています。これは、検出の実現可能性や誤検知率を検証するプロセスの一環です。

ヒント

脅威スコアは、特許出願中の Taegis 優先順位付けエンジンによって検出に割り当てられる、状況に応じた優先度の値です。詳細は 脅威スコア を参照してください。

検出 CTU 公開情報 🔗

検出が Secureworks Counter Threat Unit™ (CTU) によって公開されたマルウェアファミリーまたは脅威グループに関連付けられている場合、検出タイトルおよび説明にアイコンとリンクが表示されます。

検出 CTU 公開情報

タイトルまたは説明のリンクを選択すると、CTU 公開情報の詳細を表示するサイドパネルが開きます。

検出 CTU 公開パネル

サマリータブ🔗

Taegis Watchlist 検出のサマリータブ

影響を受けたエンティティ🔗

影響を受けたエンティティパネルには、検出内のソースおよびターゲットエンティティの詳細が表示されます。

  • エンティティをクリックすると、そのエンティティ詳細ページに移動し、脅威インテリジェンスや関連する検出・ケースなど、既知のすべての詳細が表示されます。
  • シールド アイコンをクリックすると、利用可能な脅威インテリジェンスを表示できます。
  • 影響を受けたエンティティパネル内の 虫眼鏡 アイコンをクリックすると、さらなるトリアージのためにピボットサーチを実行できます。

影響を受けたエンティティパネル

検出の詳細🔗

検出の種類によっては、検出の詳細パネルに以下の情報が含まれる場合があります。

  • 最初と最後のアクティビティ — イベントが最初に発生した時刻と最後に発生した時刻
  • 挿入日時 — イベントが記録された時刻

  • 重大度 — アクティビティが環境に与える潜在的な脅威の度合い。重大度スコアは1~100の範囲です。スコアが高いほど、アクティビティによる潜在的な脅威が大きくなります。

    注意

    検出の重大度レベルが変更された場合、メッセージが表示されます。

  • 脅威スコア — 検出に割り当てられた状況認識型の優先度値

  • 検知機 — 検出を作成したイベントを記録した検知機のタイプ
  • 信頼度 — 検出が正確で不正なアクティビティを表しているとシステムがどれだけ確信しているかの度合い。信頼度スコアは1~100の範囲です。スコアが高いほど、検出が本物の不正なアクティビティを示していると確信できます。
  • ケース — 検出が追加されたケース
  • プロセスデータ — コマンドライン、プログラムハッシュ、プロセスID、プロセスイベントのタイムウィンドウ

検出の説明🔗

検出の説明セクションでは、Secureworks Counter Threat Unit™ (CTU) によってキュレーションされた検出の概要が提供されます。

Taegis AI 検出分析🔗

Taegis AI 検出分析は、検出ロジックと関連イベントを確認し、検出を分かりやすい言葉で要約します。これにより、アナリストは検出の優先順位付け、コンテキストの提供、アクションの提案を通じて、セキュリティ検出を迅速に理解し対応できます。

分析を表示 を選択して、検出分析の要約を生成します。

AI 検出分析

生成された要約を確認し、サムズアップ または サムズダウン のフィードバックアイコンで生成内容のフィードバックを送信できます。

生成されたAI検出分析

Taegis AI 検出ロジックの説明🔗

Taegis AI 検出ロジックの説明は、Taegis Watchlist 検出の背後にある検出ロジックの理解を支援します。複雑な検出ルールを分かりやすい言葉で説明し、システムがどのように潜在的なセキュリティ脅威を特定したかを要約します。検出ロジックの説明は、説明が利用可能な場合、Taegis Watchlist 検知機によって検知されたすべての検出で表示できます。

注意

一部のルールがリサーチモードの場合、説明が利用できないことがあります。

生成された説明を確認し、サムズアップ または サムズダウン のフィードバックアイコンで生成内容のフィードバックを送信できます。

生成されたAI検出ロジックの説明

Taegis AI コマンドラインの説明🔗

Taegis AI コマンドラインの説明は、複雑なコマンドラインを分かりやすい言葉に翻訳します。これにより、アナリストはコマンドラインのロジックを迅速に理解できます。

コマンドラインを説明 をクリックして、コマンドラインの説明を生成します。

コマンドラインの説明を生成

生成された説明を確認し、サムズアップ または サムズダウン のフィードバックアイコンで生成内容のフィードバックを送信できます。

生成されたAIコマンドラインの説明

IDR 検出エンリッチメント🔗

Taegis™ IDR のお客様は、該当するID情報が IDR モジュールで収集されたユーザー情報と相関・エンリッチメントされている場合、検出内に指紋アイコン が表示されます。

検出のIDエンリッチメント

JSONタブ🔗

検出のJSONタブ

JSONタブでは、検出の展開可能なJSONビューが表示されます。

イベントタブ🔗

パスワードスプレー検出のイベントタブ

イベントタブには、検出の作成につながったイベントのテーブルが含まれています。

  • イベントの全テーブルをエクスポートするには、アクション > すべてをCSVでエクスポート を選択します。
  • テーブルの一部のみをエクスポートするには、エクスポートしたいもののチェックボックスを選択し、アクション > 選択したものをCSVでエクスポート を選択します。
  • イベントをケースに追加するには、追加したいもののチェックボックスを選択し、アクション > 既存のケースに追加 または 新しいケースの作成 を選択します。詳細は ケースの開始と追加 を参照してください。

イベントを選択すると、イベントの詳細を表示するサイドドロワーが開きます。

エンティティタブ🔗

検出のエンティティタブ

エンティティタブには、検出に関与したエンティティのテーブルが表示されます。データには、エンティティのタイプ、シールドアイコン付きの名前(脅威インテリジェンスのエンリッチメントがある場合)、および最初と最後に確認された日時が含まれます。

  • テーブル全体をエクスポートするには、テーブル上部の すべてをエクスポート を選択します。
  • エンティティ名をクリックすると、サイドパネルのサマリービューが開き、エンティティ詳細 の全画面を新しいタブで開くオプションもあります。

脆弱性タブ🔗

脆弱性タブには、検出に関連付けられた資産が VDR のサーバー資産にマッピングされている場合、その資産に関連する脆弱性データが表示されます。マッピングプロセスの詳細は 資産マッピングロジック を参照してください。

データには、脆弱性の重大度、タイプ、詳細、ホスト、CVE(該当する場合)が含まれます。

VDR資産にマッピングされた検出の脆弱性タブ

脆弱性行の左側にフラグが表示されている場合、検出ロジックがその脆弱性が検出アクティビティに関連している可能性があると示しています。これは根本原因の可能性や、攻撃または悪用された脆弱性をさらに調査すべきことを示している場合があります。

フラグ付き脆弱性

注意

検出に関連する脆弱性がない場合、脆弱性タブは表示されません。

履歴タブ🔗

履歴タブには、検出の完全な監査ログが含まれています。各ログには、タイムスタンプ、アクティビティのカテゴリとタイプ、ユーザー名とメールアドレス、変更ログが含まれます。

ヒント

更新イベントのみ表示 オプションをオンに切り替えると、検出に対して行われた更新に関連するログのみを表示できます。オフのままにすると、すべてのログを表示します。

履歴タブ

インサイトタブ🔗

インサイトタブには、追加のコンテキストを提供し、関連する検出やケースを一覧表示する複数のセクションが含まれています。

インサイトタブ

脅威スコア🔗

最初のセクションには、検出の脅威スコアが表示されます。詳細は 脅威スコア を参照してください。

検出セクションには、表示中の検出と共通点を持つ検出が一覧表示され、アナリストがそれらの検出が実際に関連しているかどうかを迅速に判断できます。これらはオープンおよびクローズ済みの検出に分類され、さらに表示中の検出と共通するエンティティタイプ(エージェント/センサーID、ファイル、ホスト名など)ごとに整理されます。

ヒント

重大 の重大度の検出がデフォルトで表示されます。他の重大度も含めたい場合は、検出テーブルのフィルターを変更してください。

ケースセクションには、表示中の検出に関連するエンティティを含むオープンおよびクローズ済みのケースが、エンティティタイプごとに整理されて一覧表示されます。これにより、トリアージ中にエンティティに対して既にケースが開かれているかどうかを迅速に判断し、重複ケースの作成を防ぐことができます。クローズ済みのケースは、過去にエンティティに対してどのようにケースが処理されたかのコンテキストを追加できます。

脅威インテリジェンスの表示🔗

検出の脅威インテリジェンス情報を表示する方法は2つあります。

  1. 詳細ページのシールドアイコン: 影響を受けたエンティティ セクションのシールドアイコンを選択して、直接的な脅威インテリジェンス情報を表示します。

直接的な脅威インテリジェンス付き検出詳細

  1. エンティティタブ - エンティティタブ に移動し、シールドアイコンが付いたエンティティを選択して、その脅威インテリジェンス情報を表示します。

脅威インテリジェンス付きエンティティタブ

詳細は 脅威インテリジェンス検出エンリッチメント を参照してください。

エンティティグラフで検出を詳細に調査🔗

検出に関連するエンティティを深く掘り下げて、その関係や詳細を調査するには、検出詳細ページ右上の エンティティグラフ を選択して エンティティグラフ を起動します。

検出からエンティティグラフを開く

検出の共有🔗

テナント内の他のユーザーと検出を共有するには、共有リンクをコピー アイコンを選択して直接URLを取得します。

検出の共有リンクをコピー

CEL Explorerで検出を表示🔗

アクションメニューからCEL Explorerで表示を選択し、CEL式の結果を自動化設定で利用するために、表示中のデータに対してテストできます。詳細については、CEL Explorer を参照してください。

CEL Explorerで検出を表示