検出の解決(検出ステータスの変更)🔗
注意
Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
Secureworks® Taegis™ XDR で検出を確認した後、以下のいずれかのステータスを設定して解決します。
- 検知(不正でない) — アクティビティは正しく識別されましたが、対象システムやデータの侵害がない、または既に対策済みです。
- 検知(不正な活動) — セキュリティインシデントが確認されました。アクティビティはお客様の組織のシステムやデータが侵害された、またはそれらを保護するための対策が失敗したことを示しています。
- 誤検知 — 誤って識別された非悪意のあるアクティビティです。
- 対応不要 — アクティビティ自体は有効な場合がありますが、是正アクションが不可能な場合です。
- オープン — 検出がまだ確認または評価されていません。
ヒント
検出が解決されると、検出トリアージダッシュボードや検出ページには表示されなくなり、トリアージ済みと見なされます。
注意
検出の評価は、どのような種類の検出やその中の情報が組織にとって価値があるかをシステムが学習するのに役立ちます。システムが徐々に学習することで、同様のアクティビティに対する重大度、信頼度、および推奨される優先度に影響が現れることが期待できます。
これらのラベルを適用する方法はいくつかあります。
個別検出からの操作🔗
サイドパネルプレビューや個別検出詳細ページで検出を表示する際、すべてのビューやタブに共通して表示される「検出の詳細」ヘッダーがあり、ここから検出のステータスや担当者をドロップダウンで設定できます。
注意
ステータス理由が入力された場合や検出がケースに含まれている場合、「検出の詳細」ヘッダーにその内容が反映されます。
検出ステータスを変更するには:
- 検出のサイドパネルプレビューまたは個別検出詳細ページを表示します。
- ステータスドロップダウンを見つけ、適切なステータスを選択します。
- (任意)このステータスが適用される理由をさらに記載します。
- 送信を選択します。
検出一覧テーブルからの操作🔗
検出ページや検索結果など、検出のテーブルを表示している場合:
- チェックボックスを使って1件以上の検出を選択します。
- アクション > 検出の解決を選択します。
- ステータスを選択し、このステータスが適用される理由を(任意で)記載します。
- OKを選択します。
ケースからの操作🔗
ケースがクローズされると、関連する検出および起点となった検出にはクローズコードに応じたラベルが自動的に付与されます。手順やクローズコードと検出ラベルの対応についてはケースのクローズをご覧ください。
誤検知と検知(不正でない)の違いは?🔗
正当なイベントがどのように分類されるか、どのような判断が必要か、次に何が起こるかを理解するには、セキュリティイベントや検出を建物の火災報知器に例えると分かりやすくなります。
| POSITIVE | NEGATIVE | |
|---|---|---|
| TRUE | 建物が火事になり、警報が鳴る。 | 建物が火事でなく、警報も鳴らない。 |
| FALSE | 火事ではないのに誰かが警報を鳴らす。 | 建物が火事なのに警報が鳴らない。 |
この例えは、XDR で検出にどのようなラベルを付けるべきかを説明するのに役立ちます。
| ラベル | 火災報知器の例え | 検出例 |
|---|---|---|
| 誤検知 | 危険がないのに誰かがいたずらで火災報知器を鳴らす。 | - DGA検知器が悪意のないドメインを悪意ありと分類した場合 - アンチウイルスが悪意のないファイルを不正と分類した場合 |
| 検知(不正でない) | 消防署が警報をテストしたり、誰かがトイレで喫煙したりして警報が鳴るが、危険はない。 | - 攻撃者も利用する管理コマンドの実行 - 正規アプリケーションによる永続化の登録 - 社内ペネトレーションテスト |
| 検知(不正な活動) | キッチンで火事が発生し、警報が鳴る。火は消し止められる。 | - マルウェア感染 - エクスプロイト成功 - アカウント侵害 |
| 対応不要 | 隣の家の火災報知器が故障している。 | - ゲスト用無線ネットワークでのマルウェア感染の特定 - 管理外資産でのアクティビティの特定 |