検知グループキー🔗
注意
Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
検知のボリュームを削減するために、Secureworks® Taegis™ XDRの検知機は、指定された時間枠内でキーごとに1つの検知を作成するために検知グループキーを使用する場合があります。これらのグループキーは、タイムスタンプやその他の重要でないフィールドを除いて主に同一の検知を重複排除することを目的としています。グループ化された検知には、総発生回数、最初に検知されたタイムスタンプ、最後に検知されたタイムスタンプ、最初のイベント、および最後のイベントが含まれます。
検知詳細サマリータブには、発生回数およびグループ化(グループキー)フィールドが含まれています。さらに、JSONタブには、検知に関連付けられた最初と最後のイベントを含むevents_metadataオブジェクトが含まれています。
発生回数は、以下のページに含まれる検知テーブルで利用できます。
- 検知
- 検知検索
- ケース → 証拠 → 検知
FAQ🔗
検知JSONで2つのイベントしか表示されないのはなぜですか?🔗
検知のJSONビューには、発生した最初のイベントIDと最後のイベントIDが含まれます。すべてのイベント発生は検索可能であり、検知詳細のイベントタブに表示されます。
グループキーとは何ですか?🔗
グループキーはWatchlistごとに設定され、検知に含まれるイベントのフィールドを含みます。例えば、NIDSのグループキーは以下のフィールドで構成されます。
- テナントID
- センサータイプ
- 検知タイトル
- 送信元IP
- 宛先IP
- 日付(24時間枠)
どの検知タイプがこのグループキー機能を持っていますか?🔗
すべての検知は、グループキーを使用して繰り返し発生を集約します。
7日間グループキーはどのように機能しますか?🔗
7日間グループキーで設定されたルールの検知は、月曜日から金曜日までの1日にグループ化されます。関連するルールによって生成されたすべての検知は、同じ平日に重複排除されます。
例🔗
- ルール1が月曜日に重複排除するように設定されています。
- このルールは金曜日に新しい検知を作成します。
- 土曜日と日曜日の繰り返し発生は、金曜日に作成された検知に追加されます。
- 月曜日には、繰り返し発生が新しい検知を生成し、次の月曜日まで発生が追加されます。
- 次の月曜日に新しい検知が作成される場合があります。
検知スキーマで何が変更されましたか?🔗
検知スキーマには、group_keyおよびevents_metadataオブジェクトが含まれるようになりました。
"events_metadata":{
"__typename":"AlertEventMetadata",
"began_at":{
"__typename":"Timestamp",
"nanos":0,
"seconds":1661119511
},
"ended_at":{
"__typename":"Timestamp",
"nanos":774000000,
"seconds":1661286639
},
"first_event_id":"event://priv:scwx.nids:35959:1661272095206:146d8128-d2fb-5d06-ac20-8dd7bac30763",
"last_event_id":"event://priv:scwx.nids:35959:1661286639774:146d8128-d2fb-5d06-ac20-8dd7bac30763",
"total_events":9,
"updated_at":{
"__typename":"Timestamp",
"nanos":391062,
"seconds":1661287835
}
},
"group_key":[
"35959:Cisco eStreamer:SERVER-WEBAPP GPON Router authentication bypass and command injection attempt:2.2.3.3:1.1.1.4:2022-08-21"
],