コンテンツにスキップ

脅威スコア🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

組織は、増加し続けるセキュリティ製品のインベントリから発生する終わりのない検知の流れと戦い続けています。その結果、セキュリティアナリストは、調査する誤検知の数が多いために検知に対して鈍感になる「検知疲れ」をますます経験しています。コンテキストの欠如は、業界を悩ませる高い誤検知率の主な原因の1つです。最終的に、検知疲れは実際の脅威への対応時間の増加と、セキュリティアナリストの警戒心の低下につながります。

Secureworks® Taegis™ 脅威スコアは、特許出願中のTaegisプライオリティエンジンによって検知に割り当てられる新しいコンテキスト認識型の優先度値です。プライオリティエンジンは、お客様のテナントおよびTaegisグローバル顧客ベース内で観測されたコンテキストを活用し、繰り返しの作業を自動化し、誤検知を削減することで、セキュリティアナリストのトリアージワークフローを改善します。スコアは0~10の範囲で、スコアが高いほどお客様の組織にとってリスクが高いことを示します。

重要

脅威スコアは、2023年10月18日以降に作成された新しい検知に対して利用可能です。この日付より前に作成された検知には、脅威スコアは付与されていません。

脅威スコア

仕組み🔗

重大およびの重大度を持つ各検知は、作成時に脅威スコアが評価・割り当てられます。検知のトリアージ時、セキュリティアナリストは脅威の有効性や重大性を判断するために多数のデータポイントを評価します。これには、過去に同様の検知やエンティティがどのようにトリアージされたか、関与するエンティティのコンテキスト、検知ソース、検知ロジック、攻撃段階、その他多くのデータポイントが含まれます。プライオリティエンジンは、機械学習やその他の自動分析技術を用いて、テナントコンテキスト、グローバルコンテキスト、セキュリティアナリストのアクションに基づき継続的に学習・適応し、これらの作業の多くを自動化します。以下のトレンドも脅威スコアに組み込まれています。

  • これは新しいタイプの検知か、それとも頻繁に発生しているのか?
  • 検知の精度はどうか?
    • どのくらいの頻度でケースに追加されたか?
    • どのくらいの頻度でケースに追加されなかったか?
    • どのくらいの頻度で「検知(不正な活動)」として解決されたか?
  • これらのエンティティを含む検知は過去にどのようにトリアージされたか?
    • ケースに追加された他の検知にこれらのエンティティが含まれていたか?
    • ケースに追加されなかった他の検知にこれらのエンティティが含まれていたか?
    • 「検知(不正な活動)」として解決された他の検知にこれらのエンティティが含まれていたか?

除外される検知🔗

すべての新しい検知には脅威スコアが付与されますが、情報の重大度の検知は、元の重大度に基づいています。たとえば、これらの検知の重大度が0.2の場合、脅威スコアは2となります。これは、脅威スコアを用いた検知のソートやフィルタリングを可能にするために必要です。以下の検知もプライオリティエンジンによる評価から除外されます。

  • カスタム検知
    • カスタム検知に割り当てられる脅威スコアは、カスタムルールで定義された検知の重大度に基づきます。
  • Bring Your Own Threat Intelligence検知
    • Bring Your Own Threat Intel検知器から作成された検知もカスタムと見なされ、検知の重大度に基づきます。
  • 抑止済み検知
    • 抑止済み検知は、定義されたルールに基づき自動的に解決されるため、エンジンが学習するための重要な要素がこれらの検知には欠けています。

脅威スコアの根拠🔗

スコアが付与された各検知には、プライオリティエンジンが脅威スコアを算出する際に使用した主な要因の概要が含まれます。要因はグローバルインサイト、テナントインサイト、エンティティインサイトに分かれており、それぞれ過去24時間以内に類似の検知やエンティティがどのようにトリアージされたかを示します。これらの要因は、検知テーブル、検知サマリーパネル、または検知詳細内で脅威スコアをクリックすることで確認できます。また、検知詳細内のインサイトタブでも情報が確認できます。

主な要因

注意

主な要因はすべての検知で利用できるとは限りません。評価されていない、まれである、またはトリアージ頻度が低い検知では、主な要因が表示されないことが一般的です。

主な要因の説明🔗

主な要因の指標は、直近24時間のデータに基づいており、類似の検知や関連エンティティが最近どのようにトリアージされたかを迅速に把握できます。

類似タイトルの検知に関するインサイト🔗

類似タイトルの検知に関するインサイトセクションでは、他の類似検知が最近どのようにトリアージされたかを、グローバルおよびお客様のテナントの両方で迅速に確認できます。

  • グローバルインサイト — Taegis環境またはお客様のテナントが存在するリージョン内のすべてのテナントからのインサイト
    • 観測された検知数 — 検知作成から直近24時間以内にすべてのテナントで観測された類似検知の件数
    • エスカレーション率 — ケースに追加された類似検知の割合
    • 解決率 — トリアージされ、ケースに追加されなかった類似検知の割合
    • 検知(不正な活動)率 — 「検知(不正な活動)」ステータスが割り当てられた検知の割合
  • テナントインサイト — 検知が作成されたテナントからのインサイト
    • 観測された説明数 — 検知作成から直近24時間以内にお客様のテナントで観測された類似検知の件数
    • エスカレーション率 — ケースに追加された類似検知の割合
    • 解決率 — トリアージされ、ケースに追加されなかった類似検知の割合
    • 検知(不正な活動)率 — 「検知(不正な活動)」ステータスが割り当てられた検知の割合
類似エンティティを含む検知に関するインサイト🔗

類似エンティティを含む検知に関するインサイトでは、エンティティが含まれていた他の検知が最近どのようにトリアージされたかを迅速に確認できます。

  • エスカレーション率 — エンティティが含まれていた検知のうち、ケースに追加された割合
  • 解決率 — エンティティが含まれていた検知のうち、トリアージされ、ケースに追加されなかった割合
  • 検知(不正な活動)率 — 「検知(不正な活動)」ステータスが割り当てられた検知の割合

ヒント

割合の合計が100%にならない場合があります。オープンな検知は、まだ判断が下されていないため、トリアージ計算には含まれません。

主な要因インサイトの解釈🔗

インサイトは、情報を手動で検索することなく、検知および関連エンティティに関するコンテキストを提供します。以下は、提示されたインサイトを分析プロセスでどのように解釈できるかの例です。

  • グローバル観測数が多く、グローバル解決率が高い

    • グローバルで観測された検知数が多く、解決率が高い場合、以下の可能性があります。
      • 頻繁に発生する検知であり、誤検知である可能性がある。
      • 不適切なシグネチャによる検知の急増が発生した。
      • 承認済みまたは正当なアクティビティによる検知の急増が発生した。

  • グローバル観測数が多く、グローバルエスカレーション率が高い

    • グローバルで観測された検知数が多く、エスカレーション率が高い場合、以下の可能性があります。
      • 複数のお客様で大規模な攻撃が発生している。

  • グローバル観測数が少なく、グローバルエスカレーション率が高い

    • グローバルで観測された検知数が少なく、エスカレーション率が高い場合、以下の可能性があります。
      • 新規またはまれな攻撃が観測されており、正当な脅威である可能性がある。
      • 新規またはまれな攻撃が観測されており、結論に至るために追加分析が必要な場合がある。

  • グローバルとテナントの観測数が同じ

    • このタイプの検知はまれであり、最近はお客様のテナントでのみ観測されている。

  • エンティティ解決率が高い

    • エンティティが最近他の検知でも観測されており、それらが誤検知であった可能性がある。

  • エンティティエスカレーション率が高い

    • エンティティが最近他の検知でも観測されており、それらが正当な脅威に関連していた可能性がある。

脅威スコアと検知重大度の比較🔗

脅威スコア🔗

検知重大度が一般的に脅威の重大性を普遍的に示すのに対し、脅威スコアはお客様固有の組織に合わせた脅威レベルを示します。お客様のテナントおよびTaegisグローバル脅威状況で観測された複数の要素を組み合わせることで、セキュリティアナリストはどの脅威に優先的に対応すべきかを判断するための包括的なスコアを得ることができます。

検知重大度🔗

検知器や検知ソースによって、重大度はアルゴリズム、元のセキュリティコントロール、または対策を作成したセキュリティリサーチャーによって設定される場合があります。重要なのは、重大度は従来、組織のコンテキストに関係なく、脅威が成功した場合の重大性を示すために割り当てられてきたという点です。各組織は固有であり、重要なコンテキストがしばしば欠如しているため、重大度だけではセキュリティアナリストが注力すべきポイントを決定する信頼できる指標とはなりませんが、業界では何十年もこの方法が採用されてきました。検知重大度の詳細については、検知重大度と信頼度をご覧ください。