検出の解決(検出ステータスの変更)🔗
注意
Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
Secureworks® Taegis™ XDR で検出を確認した後、以下のいずれかのステータスを設定して解決してください。
- 検知(不正でない) — アクティビティは正しく特定されましたが、対象のシステムやデータが侵害されていない、または既に対策済みです。
- 検知(不正な活動) — セキュリティインシデントが確認されました。アクティビティは、お客様の組織のシステムやデータが侵害された、またはそれらを保護するための対策が失敗したことを示しています。
- 誤検知 — 誤って特定された非悪意のあるアクティビティです。
- 対応不要 — アクティビティ自体は有効な場合がありますが、是正措置が不可能な場合です。
- オープン — 検出がまだ確認または評価されていません。
ヒント
検出が解決されると、検出トリアージダッシュボードや検出ページには表示されなくなり、トリアージ済みと見なされます。
注意
検出の評価は、どのような種類の検出やその中の情報が組織にとって価値があるかをシステムが学習するのに役立ちます。システムが徐々に学習することで、同様のアクティビティに対する重大度、信頼度、および推奨される優先順位付けに影響が現れることが期待できます。
これらのラベルを適用する方法はいくつかあります。
個別の検出から🔗
サイドパネルのプレビューや個別の検出詳細ページで検出を表示する際、すべてのビューやタブに共通して表示される「検出の詳細」ヘッダーがあり、ここから ステータス および 担当者 をドロップダウンで設定できます。
注意
ステータス理由が入力された場合や検出がケースに含まれている場合、「検出の詳細」ヘッダーに反映されます。
検出ステータスを変更するには:
- 検出のサイドパネルプレビューまたは個別の検出詳細ページを表示します。
- ステータス ドロップダウンを見つけ、適切なステータスを選択します。
- (任意)このステータスが適用される理由をさらに記載します。
- 送信 を選択します。
検出のテーブルから🔗
検出ページ や 検索結果 など、検出のテーブルを表示している場合:
- チェックボックスを使って1つ以上の検出を選択します。
- アクション > 検出の解決 を選択します。
- ステータスを選択し、このステータスが適用される理由を(任意で)記載します。
- OK を選択します。
ケースから🔗
ケースがクローズされると、関連する検出および起点となる検出には、クローズコードに応じて自動的にラベルが付与されます。手順やクローズコードと検出ラベルの対応については、ケースのクローズ を参照してください。
誤検知と検知(不正でない)の違いは?🔗
正当なイベントがどのように分類されるか、どのような判断が必要か、そしてその後どうなるかを理解するには、セキュリティイベントや検出を建物の火災報知器に例えると分かりやすくなります。
| POSITIVE | NEGATIVE | |
|---|---|---|
| TRUE | 建物が火事になり、警報が鳴る。 | 建物が火事でなく、警報も鳴らない。 |
| FALSE | 火事ではないのに誰かが警報を鳴らす。 | 建物が火事なのに警報が鳴らない。 |
この例えは、XDR で検出にラベルを付ける際の考え方を説明します。
| ラベル | 火災報知器の例え | 検出例 |
|---|---|---|
| 誤検知 | 危険がないのに誰かがいたずらで火災報知器を鳴らす。 | - DGA検知器が悪意のないドメインを悪意ありと分類した場合 - アンチウイルスが悪意のないファイルを不正と分類した場合 |
| 検知(不正でない) | 消防署が警報をテストしたり、誰かがトイレで喫煙した場合。警報は鳴るが危険はない。 | - 攻撃者も利用する管理コマンドの実行 - 正規アプリケーションによる永続化の登録 - 社内ペネトレーションテスト |
| 検知(不正な活動) | キッチンで火事が発生し、警報が鳴る。火は消し止められる。 | - マルウェア感染 - エクスプロイト成功 - アカウント侵害 |
| 対応不要 | 隣の家の火災報知器が故障している。 | - ゲスト用無線ネットワークでのマルウェア感染の特定 - 管理外資産でのアクティビティの特定 |