コンテンツにスキップ

脅威スコア🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

組織は、増加し続けるセキュリティ製品のインベントリから発生する終わりのない検出の流れと戦い続けています。その結果、セキュリティアナリストは、調査する誤検知の数が多いために検出に対して鈍感になる「検出疲労」をますます経験しています。コンテキストの欠如は、業界を悩ませる高い誤検知率の主な原因の一つです。最終的に、検出疲労は実際の脅威への対応時間の増加や、セキュリティアナリストの警戒心の低下につながります。

Secureworks® Taegis™ 脅威スコアは、特許出願中のTaegisプライオリティエンジンによって検出に割り当てられる新しいコンテキスト認識型の優先度値です。プライオリティエンジンは、お客様のテナントおよびTaegisグローバル顧客基盤で観測されたコンテキストを活用し、繰り返し作業の自動化や誤検知の削減によって、セキュリティアナリストのトリアージワークフローを改善します。スコアは0~10の範囲で、スコアが高いほどお客様の組織にとってリスクが高いことを示します。

重要

脅威スコアは、2023年10月18日以降に作成された新しい検出に対して利用可能です。この日付より前に作成された検出には、脅威スコアは付与されていません。

脅威スコア

仕組み🔗

重大およびの重大度を持つ各検出は、作成時に脅威スコアが評価・割り当てられます。検出のトリアージ時、セキュリティアナリストは脅威の有効性や重大性を判断するために多数のデータポイントを評価します。これには、過去に同様の検出やエンティティがどのようにトリアージされたか、関与するエンティティのコンテキスト、検出ソース、検出ロジック、攻撃段階、その他多くのデータポイントが含まれます。プライオリティエンジンは、機械学習やその他の自動分析技術を用いて、テナントコンテキスト、グローバルコンテキスト、セキュリティアナリストのアクションに基づき継続的に学習・適応し、これらの作業の多くを自動化します。以下の傾向も脅威スコアに組み込まれています。

  • これは新しいタイプの検出か、それとも頻繁に発生しているのか?
  • 検出の精度はどうか?
    • どのくらいの頻度でケースに追加されたか?
    • どのくらいの頻度でケースに追加されなかったか?
    • どのくらいの頻度で「検知(不正な活動)」として解決されたか?
  • これらのエンティティを含む検出は過去にどのようにトリアージされたか?
    • ケースに追加された他の検出にこれらのエンティティが含まれていたか?
    • ケースに追加されなかった他の検出にこれらのエンティティが含まれていたか?
    • 「検知(不正な活動)」として解決された他の検出にこれらのエンティティが含まれていたか?

除外される検出🔗

すべての新しい検出には脅威スコアが付与されますが、情報の重大度の検出は、元の重大度に基づいています。たとえば、これらの検出の重大度が0.2の場合、脅威スコアは2となります。これは、脅威スコアを用いた検出の並び替えやフィルタリングを可能にするために必要です。以下の検出もプライオリティエンジンによる評価から除外されます。

  • カスタム検出
    • カスタム検出に割り当てられる脅威スコアは、カスタムルールで定義された検出の重大度に基づきます。
  • Bring Your Own Threat Intelligence検出
    • Bring Your Own Threat Intel検知機から作成された検出もカスタムと見なされ、検出の重大度に基づきます。
  • 抑止済み検出
    • 抑止済み検出は、定義されたルールに基づき自動的に解決されるため、エンジンが学習するための重要な要素がこれらの検出には欠けています。

脅威スコアの根拠🔗

スコアが付与された各検出には、プライオリティエンジンが脅威スコアを算出する際に使用した主な要因の概要が含まれます。要因はグローバルインサイト、テナントインサイト、エンティティインサイトに分かれており、それぞれ過去24時間以内に類似検出やエンティティがどのようにトリアージされたかを示します。これらの要因は、検出テーブル、検出サマリーパネル、または検出詳細内で脅威スコアをクリックすることで確認できます。また、検出詳細内のインサイトタブでも情報が確認できます。

寄与要因

注意

寄与要因はすべての検出で利用できるとは限りません。評価されていない、まれである、またはトリアージ頻度が低い検出では、寄与要因が表示されないことが一般的です。

寄与要因の説明🔗

寄与要因の指標は、過去24時間のデータをもとにしており、類似検出や関連エンティティが最近どのようにトリアージされたかを迅速に把握できます。

類似タイトルの検出に関するインサイト🔗

類似タイトルの検出に関するインサイトセクションでは、他の類似検出が最近どのようにトリアージされたかを、グローバルおよびお客様のテナントの両方で迅速に確認できます。

  • グローバルインサイト — Taegis環境またはお客様のテナントが存在するリージョン内のすべてのテナントからのインサイト
    • 観測された検出数 — 検出作成から過去24時間以内に観測された類似検出の件数(全テナント合計)
    • エスカレーション率 — ケースに追加された類似検出の割合
    • 解決率 — トリアージされ、ケースに追加されなかった類似検出の割合
    • 検知(不正な活動)率 — 「検知(不正な活動)」ステータスが付与された検出の割合
  • テナントインサイト — 検出が作成されたテナントからのインサイト
    • 観測された説明数 — 検出作成から過去24時間以内にお客様のテナントで観測された類似検出の件数
    • エスカレーション率 — ケースに追加された類似検出の割合
    • 解決率 — トリアージされ、ケースに追加されなかった類似検出の割合
    • 検知(不正な活動)率 — 「検知(不正な活動)」ステータスが付与された検出の割合
類似エンティティを含む検出に関するインサイト🔗

類似エンティティを含む検出に関するインサイトでは、エンティティが含まれていた他の検出が最近どのようにトリアージされたかを迅速に確認できます。

  • エスカレーション率 — エンティティが含まれていた検出のうち、ケースに追加された割合
  • 解決率 — エンティティが含まれていた検出のうち、トリアージされ、ケースに追加されなかった割合
  • 検知(不正な活動)率 — 「検知(不正な活動)」ステータスが付与された検出の割合

ヒント

割合の合計が100%にならない場合があります。オープンな検出は、まだ判断が下されていないため、トリアージ計算には含まれません。

脅威インテリジェンス🔗

VirusTotalやAPIVoidから脅威インテリジェンスヒットがあるエンティティは、脅威スコアの算出に考慮され、脅威スコア寄与要因パネルおよび検出インサイトタブに表示されます。この情報を活用して調査の優先順位を決定してください。TIヒットが確認された高い脅威スコアは、特に複数のソースで裏付けられている場合、より高い緊急性が求められます。

寄与要因 脅威インテリジェンス

寄与要因インサイトの解釈🔗

インサイトは、検出や関連エンティティに関するコンテキストを、お客様自身で情報を検索することなく提供します。以下は、提示されたインサイトを分析プロセスでどのように解釈できるかの例です。

  • グローバル観測数が多く、グローバル解決率が高い

    • 世界的に観測された検出数が多く、解決率も高い場合、以下の可能性があります。
      • 頻繁に発生する検出であり、誤検知の可能性がある。
      • 不適切なシグネチャによる検出スパイクが発生した。
      • 承認済みまたは正当なアクティビティによる検出スパイクが発生した。

  • グローバル観測数が多く、グローバルエスカレーション率が高い

    • 世界的に観測された検出数が多く、エスカレーション率も高い場合、以下の可能性があります。
      • 複数のお客様にまたがる大規模な攻撃が発生している。

  • グローバル観測数が少なく、グローバルエスカレーション率が高い

    • 世界的に観測された検出数が少なく、エスカレーション率が高い場合、以下の可能性があります。
      • 新規またはまれな攻撃が観測され、正当な脅威である可能性がある。
      • 新規またはまれな攻撃が観測され、結論に至るために追加分析が必要な場合がある。

  • グローバルとテナントの観測数が同じ

    • このタイプの検出はまれであり、最近はお客様のテナントでのみ観測されている。

  • エンティティ解決率が高い

    • エンティティが最近他の検出でも観測されており、それらが誤検知であった可能性がある。

  • エンティティエスカレーション率が高い

    • エンティティが最近他の検出でも観測されており、それらが正当な脅威に関連していた可能性がある。

脅威スコアと検出重大度の比較🔗

脅威スコア🔗

検出重大度が一般的に脅威の重大性を普遍的に示すのに対し、脅威スコアはお客様固有の組織に合わせた脅威レベルを表します。お客様のテナント内およびTaegisグローバル脅威状況で観測された複数の要素を組み合わせることで、セキュリティアナリストはどの脅威に優先的に対応すべきかを判断するための包括的なスコアを得ることができます。

検出重大度🔗

検知機や検出ソースによって、重大度はアルゴリズム、元となるセキュリティコントロール、または対策を作成したセキュリティリサーチャーによって設定される場合があります。重要なのは、重大度は従来、組織のコンテキストに関係なく、脅威が成功した場合の重大性を表すために割り当てられてきたという点です。各組織は固有であり、重要なコンテキストが欠落していることが多いため、重大度だけではセキュリティアナリストが注力すべきポイントを決定するための信頼できる指標とは言えませんが、業界では何十年もこの方法が採用されてきました。検出重大度の詳細については、検出重大度と信頼度をご参照ください。