検出🔗
注意
Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
Secureworks® Taegis™ XDR は、検知機からのイベントまたは複数のイベントを受け取り、検出 に変換します。検出の詳細 を確認し、さらなる調査が必要かどうかを判断してください。
すべての検出は検出ページで確認でき、検出のテーブルはフィルターやエクスポートが可能です。
注意
検出テーブルは最大10,000件まで表示されます。フィルター を適用して結果を絞り込んでください。
注意
RESEARCH で始まる検出は、その検知機または検出を生成したメカニズムがリサーチモードで動作していることを示しています。これは、検出の実現可能性や誤検知率を検証するプロセスの一環です。
ヒント
脅威スコアは、特許出願中の Taegis 優先順位付けエンジンによって検出に割り当てられる、コンテキスト認識型の優先度値です。詳細は 脅威スコア をご覧ください。
すべての検出を表示🔗
検出ページには、Taegis Menu から 検出 > 検出 を選択してアクセスできます。
XDR 内の任意の検出リストを開くと、検出パネルにはフィルター済みの検出が事前に表示されます。たとえば、最近の検出ウィジェット から すべて表示 を選択すると、最近の検出を確認できます。
検出タイトルを選択すると、プレビューサイドパネルでその主要な詳細を表示できます。これにより、結果テーブルを閲覧しながら、場所やフィルターを失うことなく操作できます。検出の全詳細を表示するには、新しいタブで開く を選択してください。検出詳細パネルが新しいタブで開きます。
ヒント
プレビューサイドパネルの幅は、パネルを押しながらドラッグすることで調整できます。
検出のフィルター🔗
検出テーブルをフィルターするには:
-
折りたたみ可能なフィルターメニューを使用して、一致する検出のリストを絞り込みます。
注意
フィルター結果は最大1,000件まで集計されます。期間や追加フィルターを調整してさらに絞り込んでください。
-
フィルターメニューの オプションを含める を使用して、カスタム検出やトリアージ済み検出を含めるか除外できます。デフォルトでは除外されています。
-
ダッシュボード右上のドロップダウン日付/時刻ピッカーで選択期間を変更できます。デフォルト期間は72時間ですが、カスタム期間を選択すると上書きされます。最後に選択した期間が新しいデフォルトとなります。
検出のフィルター
スキーマの変更🔗
XDR の新しい検出フレームワークでは、スキーマが更新され、XDR および新しい Alerts GraphQL API で検索クエリの構築方法が変更されました。一部のフィールドは移動され、一部は完全に削除されています。以下の表は変更点の概要です。
| 以前 | 新しい |
|---|---|
| alert_type | metadata.creator.detector.detector_id に移動 |
| attack_categories | attack_technique_ids に移動 |
| attack_categories_info | enrichment_details.mitre_attack_info に移動 |
| confidence | metadata.confidence に移動 |
| creator | metadata.creator.detector.detector_id に移動 |
| creator_version | metadata.creator.detector.version に移動 |
| data | enrichment_details または third_party_details に移動 |
| description | metadata.description に移動 |
| insert_timestamp | metadata.created_at に移動 |
| investigations | investigation_ids.id に移動 |
| labels_data | status および resolution_reason に移動 |
| message | metadata.title に移動 |
| references | reference_details に移動 |
| related_entities | entities.entities に移動 |
| severity | metadata.severity に移動 |
| timestamp | metadata.began_at に移動 |
| investigation_info | 削除。ケースクエリを参照 |
| ranking_data | 削除 |
| source | 削除 |
検出のエクスポート🔗
XDR の検出テーブルからデータをCSVファイルとしてエクスポートできます。
選択した項目のエクスポート🔗
- ダウンロードしたい検出をチェックボックスで選択します。
- 結果テーブル右上の アクション メニューから 選択した項目をCSVでエクスポート を選択します。ダウンロードリクエストが送信され、処理されます。
- データエクスポート に移動し、リクエストのステータスを確認し、利用可能なファイルをダウンロードします。
すべての項目のエクスポート🔗
- 結果テーブル右上の アクション メニューから すべてをCSVでエクスポート を選択します。ダウンロードリクエストが送信され、処理されます。
- データエクスポート に移動し、リクエストのステータスを確認し、利用可能なファイルをダウンロードします。
注意
ダウンロード可能なファイルには有効期限があり、ダウンロードテーブルの ファイル有効期限 列に記載されています。
ヒント
ダウンロード可能なファイルは最大100,000行までです。100,000行を超えるデータセットが必要な場合は、日付ピッカーや検索パラメータでデータテーブルを絞り込むか、または必要なデータセット全体をカバーする複数のリクエストを送信してください。