クラウドWatchlist🔗
クラウドWatchlist検知機は、パブリッククラウド資産を監視するセキュリティプロバイダーから取得したイベントをSecureworks® Taegis™ XDRの検出へ変換します。変換された検出には、観測されたアクティビティおよびXDRの検出重大度・信頼度仕様に基づいて重大度と信頼度が割り当てられます。必要に応じて、元のプロバイダーの重大度や信頼度も元イベントデータで参照できます。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- Microsoft Graph Security
サードパーティプロバイダーから取得できるセキュリティ脅威の例:
- 非典型的な移動
- アカウント侵害
- ランサムウェアアクティビティ
- カスタム検出
- マルウェア検出
入力🔗
検出は以下の正規化されたソースから取得されます。
- Auth
入力フィールド🔗
| フィールド |
|---|
provider |
sensor_type |
status |
title |
vendor_severity |
出力🔗
この検知機からの検出は、XDR検出データベースおよび検出トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CKカテゴリ🔗
この検知機にはMITREマッピングがありません。
検知機テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を実行することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を実行することで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基盤となるデータが存在しないことを示している場合もあります。必要なスキーマがデータソースに提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
参考情報🔗
- スキーマ