高度な検知機

Secureworks® Taegis™ XDR の高度な検知機は、お客様の環境全体にわたる高度な脅威や高リスクの露出を特定するために設計された専用の検知機です。既知のシグネチャに一致するルールベースの検知機とは異なり、高度な検知機は、行動分析、統計モデリング、証拠の相関を用いて、攻撃者が戦術を変更した場合でも不正なアクティビティを検出します。

高度な検知機は、エンドポイント、クラウド環境、IDプロバイダー、ネットワークソースからのテレメトリーを処理し、お客様の XDR テナント内で高精度かつ実用的な検出を生成します。

高度な検知機の仕組み

ほとんどの高度な検知機は、単一イベントの一致を超えた分析を行います。代わりに、複数のデータポイントや時間枠にわたるパターンを分析し、お客様の環境で何が起きているかを把握します。高度な検知機は以下を活用します。

• 行動相関: プロセス実行、ネットワーク接続、認証イベントなど、異なるデータソースからのシグナルを組み合わせ、不審なアクティビティの連鎖を特定します。
• 統計的異常検知: 通常の行動のベースラインを確立し、未確認の場所からのユーザーのログインや、珍しい外部IPとの通信などの逸脱を検知します。
• 証拠の蓄積: 検出を生成する前に複数の証拠を収集し、誤検知を減らし、調査のためのより豊富なコンテキストを提供します。
• 重大度の調整: 新たな証拠が発見されるたびに検出の重大度を動的に調整し、最も重要な脅威が適切に優先されるようにします。

高度な検知機が環境内でトリガーされると、XDR は検出を生成し、検出トリアージダッシュボードに表示します。各検出には、根拠となる証拠、重大度評価、調査や対応を支援する関連コンテキストが含まれます。

検出処理

高度な検知機は、2つの方法でテレメトリーを処理します。

処理タイプ	挙動	検知機
ストリーミング	イベントは取り込み時にほぼリアルタイムで分析されます。	Account Compromise、Brute Force、Cloud Recon to Change、DGA、Hands-on-Keyboard、Impossible Travel、Kerberoasting、Password Spray、Punycode、Snapshot Exfiltration、Stolen User Credentials
バッチ	イベントは定期的にスケジュールされた間隔で分析されます。	Rare Program to Rare IP

ストリーミング検知機は、トリガーイベントから数分以内に検出を生成するのが一般的です。KerberoastingやPassword Sprayのような一部のストリーミング検知機は、アクティビティウィンドウが終了するまでアラートを待つため、追加の遅延が発生する場合があります。

リサーチ検出

タイトルに RESEARCH が付与された検出は評価段階にあります。この段階では、検出を展開してフィードバックを収集し、パフォーマンスを監視した後、一般提供となります。リサーチ検出はアナリストによるトリアージを想定していません。検出が一般提供となった際にドキュメントが公開されます。

要件

高度な検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。

• Auth
• Cloudaudit
• DNS
• Netflow
• Process
• Third Party
• XDR 検出

必要なデータソースは、お客様の環境で関連する検知機によって異なります。必要なデータソースがテナントで利用可能になると、検知機は自動的に有効化されます。

データ品質と検出カバレッジ

高度な検知機の有効性は、正規化されたテレメトリーの品質と完全性に依存します。各スキーマはフィールドを 必須、推奨、任意 として定義しています。

• 必須: イベントを処理するためにフィールドが存在している必要があります。
• 推奨: フィールドが入力されていると検出カバレッジが大幅に向上します。推奨フィールドが入力されている場合、より多くの検知機がイベントを評価し、検出を生成します。
• 任意: 検出にコンテキストを追加し、調査体験を向上させます。

インテグレーションができるだけ多くの関連フィールドを入力することで、検出カバレッジが向上し、より多くの高度な検知機がテレメトリー上で動作できるようになります。

出力

高度な検知機による検出は、XDR 検出データベースおよび検出トリアージダッシュボードに送信されます。

設定オプション

高度な検知機は、必要なデータソースやインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。追加の設定は不要です。

MITRE ATT&CK カバレッジ

高度な検知機は、複数のMITRE ATT&CK戦術、テクニック、サブテクニックにマッピングされています。高度な検知機のすべてのMITREマッピングは、検知機エクスプローラーで確認でき、MITRE ATT&CKでフィルタリングしてカバレッジマトリクス全体を参照できます。個々の検出がテナントで生成された際にも、特定のマッピングが表示されます。

検知機テスト

以下の例を使用して検出を検索できます。

Example

高度な検知機によって生成された検出を検索するには:

FROM detection WHERE metadata.creator.detector.detector_id MATCHES 'app:detect:*'

Example

特定の検知機によって生成された検出を検索するには、利用可能な検知機の表に記載されている検知機名を置き換えてください。

FROM detection WHERE metadata.creator.detector.detector_id='app:detect:stolen-user-credentials'

よくある質問

RESEARCHプレフィックス付き検出にドキュメントがないのはなぜですか？

リサーチ検出は評価段階にあり、まだ一般提供されていません。検知機が一般提供に昇格した際にドキュメントが公開されます。リサーチ検出はトリアージを想定していません。

特定の検知機の検出閾値は何ですか？

検出閾値は公開していません。多くの閾値は設定可能であり、検知機の調整に応じて変更される場合があります。閾値を共有すると攻撃者が検出を回避する可能性があるためです。

参考資料

• スキーマ
  • Auth
  • Cloudaudit
  • DNS
  • Netflow
  • Process
  • Third Party
  • XDR 検出
• 検知機
  • Tactic Graphs