コンテンツにスキップ

検出の詳細🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

Secureworks® Taegis™ XDR は、検知機からのイベントまたは複数のイベントを受け取り、検出 に変換します。検出の詳細を確認し、さらなる調査が必要かどうかを判断してください。

検出の管理🔗

必要なロールを持つユーザーは、検出に対して以下のアクションを実行できます。

検出の詳細を表示🔗

XDR 内のどこからでも検出タイトルを選択すると、その詳細を表示できます。

検出ページなど、アプリケーションの一部のエリアでは、検出の主要な詳細を表示するプレビューサイドパネルが開きます。これにより、場所やフィルターを失うことなく複数の検出を続けて閲覧できます。

サイドパネルで検出を表示

検出の全詳細を表示するには、検出タイトルを選択してください。または、 アイコンを選択して新しいタブで詳細を開くこともできます。

XDR の他のエリア、たとえば最近の検出ウィジェットでは、検出の詳細ページが自動的に開きます。

注意

RESEARCH で始まる検出は、その検知機または検出を生成したメカニズムがリサーチモードで動作していることを示しています。これは、検出の実現可能性や誤検知率を検証するプロセスの一環です。

ヒント

Threat Scoreは、特許出願中のTaegis優先順位付けエンジンによって検出に割り当てられるコンテキスト認識型の優先度値です。詳細はThreat Scoreをご覧ください。

検出 CTU 公開情報 🔗

検出がSecureworks Counter Threat Unit™ (CTU)によって公開されたマルウェアファミリーまたは脅威グループに関連付けられている場合、検出タイトルおよび説明にアイコンとリンクが表示されます。

検出 CTU 公開情報

タイトルまたは説明のリンクを選択すると、CTU公開情報の詳細を表示するサイドパネルが開きます。

検出 CTU 公開情報パネル

サマリータブ🔗

Taegis Watchlist検出のサマリータブ

影響を受けたエンティティ🔗

影響を受けたエンティティパネルには、検出内のソースおよびターゲットエンティティの詳細が表示されます。

  • エンティティをクリックすると、そのエンティティ詳細ページに移動し、脅威インテリジェンスや関連する検出・ケースなど、既知のすべての詳細が表示されます。
  • シールドアイコンをクリックすると、利用可能な脅威インテリジェンスを表示できます。
  • 影響を受けたエンティティパネル内の虫眼鏡アイコンをクリックすると、さらなるトリアージのためにピボットサーチを実行できます。

影響を受けたエンティティパネル

検出の詳細🔗

検出の種類によっては、検出の詳細パネルに以下の情報が含まれる場合があります。

  • 最初と最後のアクティビティ — イベントが最初に発生した時刻と最後に発生した時刻
  • 挿入日時 — イベントが記録された時刻

  • 重大度 — アクティビティが環境に与える潜在的な脅威の度合い。重大度スコアは1~100の範囲です。スコアが高いほど、アクティビティによる潜在的な脅威が大きくなります。

    注意

    検出の重大度レベルが変更された場合、メッセージが表示されます。

  • Threat Score — 検出に割り当てられたコンテキスト認識型の優先度値

  • 検知機 — 検出を作成したイベントを記録した検知機の種類
  • 信頼度 — 検出が正確で不正なアクティビティを表しているというシステムの確信度。信頼度スコアは1~100の範囲です。スコアが高いほど、検出が本物の不正なアクティビティを示していると確信しています。
  • ケース — 検出が追加されたケース
  • プロセスデータ — コマンドライン、プログラムハッシュ、プロセスID、プロセスイベントのタイムウィンドウ

検出の説明🔗

検出の説明セクションでは、Secureworks Counter Threat Unit™ (CTU)によってキュレーションされた検出の概要を提供します。

Taegis AI検出分析🔗

Taegis AI検出分析は、検出ロジックと関連イベントを確認し、検出を分かりやすい言葉で要約します。これにより、アナリストは検出の優先順位付け、コンテキストの提供、アクションの提案を通じて、セキュリティ検出を迅速に理解し対応できます。

分析を表示 を選択して、検出分析の要約を生成します。

AI検出分析

生成された要約を確認し、サムズアップまたはサムズダウンのフィードバックアイコンを使って生成内容のフィードバックを送信してください。

生成されたAI検出分析

Taegis AI検出ロジックの説明🔗

Taegis AI検出ロジックの説明は、Taegis Watchlist検出の背後にある検出ロジックの理解を支援します。複雑な検出ルールを分かりやすい言葉で説明し、システムがどのように潜在的なセキュリティ脅威を特定したかを要約します。検出ロジックの説明は、説明が利用可能な場合、Taegis Watchlist検知機によって検知されたすべての検出で表示できます。

注意

一部のルールがリサーチモードの場合、説明が利用できないことがあります。

生成された説明を確認し、サムズアップまたはサムズダウンのフィードバックアイコンを使って生成内容のフィードバックを送信してください。

生成されたAI検出ロジックの説明

Taegis AIコマンドラインの説明🔗

Taegis AIコマンドラインの説明は、複雑なコマンドラインを分かりやすい言葉に翻訳します。アナリストがコマンドラインのロジックを迅速に理解するのに役立ちます。

コマンドラインを説明 をクリックして、コマンドラインの説明を生成します。

コマンドラインの説明を生成

生成された説明を確認し、サムズアップまたはサムズダウンのフィードバックアイコンを使って生成内容のフィードバックを送信してください。

生成されたAIコマンドラインの説明

IDR 検出エンリッチメント🔗

Taegis™ IDR のお客様は、該当するID情報が相関され、IDRモジュールで収集されたユーザー情報でエンリッチされた検出内に、指紋アイコン が表示されます。

検出のIDエンリッチメント

JSONタブ🔗

検出のJSONタブ

JSONタブでは、検出の展開可能なJSONビューが表示されます。

イベントタブ🔗

パスワードスプレー検出のイベントタブ

イベントタブには、検出の作成につながったイベントのテーブルが含まれています。

  • イベントの全テーブルをエクスポートするには、アクション > すべてをCSVでエクスポート を選択します。
  • テーブルの一部のみをエクスポートするには、エクスポートしたいもののチェックボックスを選択し、アクション > 選択したものをCSVでエクスポート を選択します。
  • イベントをケースに追加するには、追加したいもののチェックボックスを選択し、アクション > 既存のケースに追加 または 新しいケースの作成 を選択します。詳細はケースの開始と追加をご覧ください。

イベントを選択すると、イベントの詳細を表示するサイドドロワーが開きます。

エンティティタブ🔗

検出のエンティティタブ

エンティティタブには、検出に関与したエンティティのテーブルが表示されます。データには、エンティティの種類、シールドアイコン付きの名前(脅威インテリジェンスのエンリッチメントが利用可能な場合)、および最初と最後に確認された時刻が含まれます。

  • エンティティの全テーブルをエクスポートするには、テーブル上部の すべてをエクスポート を選択します。
  • エンティティ名をクリックすると、サイドパネルのサマリービューが開き、エンティティ詳細の全画面を新しいタブで開くオプションが表示されます。

脆弱性タブ🔗

脆弱性タブには、検出に関連付けられた資産がVDRのサーバー資産にマッピングされている場合、その資産に関連する脆弱性データが表示されます。マッピングプロセスの詳細は資産マッピングロジックをご覧ください。

データには、脆弱性の重大度、種類、詳細、ホスト、CVE(該当する場合)が含まれます。

VDR資産にマッピングされた検出の脆弱性タブ

脆弱性行の左側にフラグが表示されている場合、検出ロジックがその脆弱性が検出アクティビティに関連している可能性があることを示しています。これは根本原因の可能性や、攻撃または利用された脆弱性をさらに調査すべきことを示している場合があります。

フラグ付き脆弱性

注意

検出に関連する脆弱性がない場合、脆弱性タブは表示されません。

履歴タブ🔗

履歴タブには、検出の完全な監査ログが含まれています。各ログには、タイムスタンプ、カテゴリとアクティビティの種類、ユーザー名とメールアドレス、変更ログが含まれます。

ヒント

更新イベントのみ表示 オプションをオンに切り替えると、検出に対して行われた更新に関連するログのみを表示できます。オフのままにすると、すべてのログを表示します。

履歴タブ

インサイトタブ🔗

インサイトタブには、追加のコンテキストを提供し、関連する検出やケースを一覧表示する複数のセクションが含まれています。

インサイトタブ

Threat Score🔗

最初のセクションには、検出のThreat Scoreが表示されます。詳細はThreat Scoreをご覧ください。

検出セクションには、表示中の検出と共通点を持つ検出が一覧表示され、アナリストがそれらの検出が実際に関連しているかどうかを迅速に判断できます。これらはオープンおよびクローズ済みの検出に分類され、さらに表示中の検出と共通するエンティティタイプ(エージェント/センサーID、ファイル、ホスト名など)ごとに整理されます。

ヒント

重大 の重大度の検出がデフォルトで表示されます。他の重大度も含めたい場合は、検出テーブルのフィルターを変更してください。

ケースセクションには、表示中の検出に関連するエンティティを含むオープンおよびクローズ済みのケースが、エンティティタイプごとに整理されて一覧表示されます。これにより、トリアージ中にエンティティに対して既にケースがオープンしているかどうかを迅速に判断し、重複ケースの作成を防ぐことができます。クローズ済みのケースは、エンティティに対して過去にどのようにケースが処理されたかのコンテキストを追加できます。

脅威インテリジェンスの表示🔗

検出の脅威インテリジェンス情報を表示する方法は2つあります。

  1. 詳細ページのシールドアイコン影響を受けたエンティティセクションのシールドアイコンを選択して、直接的な脅威インテリジェンス情報を表示します。

直接的な脅威インテリジェンス付き検出詳細

  1. エンティティタブ - エンティティタブに移動し、シールドアイコンが付いたエンティティを選択して、その脅威インテリジェンス情報を表示します。

脅威インテリジェンス付きエンティティタブ

詳細は脅威インテリジェンス検出エンリッチメントをご覧ください。

エンティティグラフで検出を詳細に調査🔗

検出に関連するエンティティを深く掘り下げて、その関係や詳細を調査するには、検出詳細ページ右上の エンティティグラフ を選択して エンティティグラフ を起動します。

検出からエンティティグラフを開く

検出の共有🔗

テナント内の他のユーザーと検出を共有するには、共有リンクをコピー アイコンを選択して直接URLを取得します。

検出の共有リンクをコピー

CEL Explorerで検出を表示🔗

アクションメニューからCEL Explorerで表示を選択し、Automationsの設定で使用するために、表示されているデータに対してCEL式の結果をテストします。詳細については、CEL Explorerを参照してください。

CEL Explorerで検出を表示