検知機の概要🔗
Secureworks® Taegis™ XDR には、お客様の環境データを継続的に監視し、不正なアクティビティを検知する検知機が含まれています。下記の表は利用可能な検知機の一覧です。表内のリンクやナビゲーションを利用して、各検知機の詳細ページをご覧ください。
ヒント
XDR Creator 列を使用して、指定された検知機によって作成された検出を特定するために 詳細検索 で使用できる検知機名を見つけてください。例:FROM detection WHERE metadata.creator.detector.detector_id='creator-name'
注意
一部の検知機は現在 event_ID の参照のみを含み、ContributingEvents を提供していません。これにより検知サービスがイベントデータを保存できず、XDRはこれらの検知機に対してイベントデータを用いた検索ができません。これらは「基礎となるイベントを使用して検索可能」列で示されています。
利用可能な検知機🔗
| 検知機タイプ | 説明 | XDR Creator | 基礎となるイベントを使用して検索可能 |
|---|---|---|---|
| Account Compromise | ユーザーログインおよびログイン後の行動に関連する複数のエンティティを組み合わせ、攻撃者による乗っ取りの兆候を示すアカウントを特定する検知機 | app:detect:account-compromise-aggregator | いいえ |
| Bring Your Own Threat Intel | 脅威インテリジェンスのインジケーターリストを連携し、正規化されたテレメトリー内でそれらのインジケーターが検出された際に検出を生成する検知機 | app:detect:byoti | いいえ |
| Brute Force | パスワードの繰り返し試行を検知する検知機 | app:detect:brute-force-detector | いいえ |
| Business Email Compromise | 攻撃者がO365メールアカウントに対して使用する特定の手法を検知する検知機 | app:event-filter:bec | はい |
| Cloud Recon to Change | ユーザーによるAWS RDSデータの異常な持ち出しを特定する検知機 | app:detect:cloud-unusual-recon-user | はい |
| Cloud Watchlist | パブリッククラウド資産を監視するセキュリティプロバイダーからのイベントをXDRの検出に変換する検知機 | app:event-filter:cloudwatchlist | はい |
| Domain Generation Algorithms | ネットワーク接続データ内の不審なドメインに対して検出を生成する検知機 | app:detect:dga | はい |
| Domain Watchlist | CTUおよびサードパーティの脅威インジケーターフィードを利用して不正なドメインを検知する検知機 | app:detect:domain_blacklist | はい |
| Email Watchlist | サードパーティのEmailセキュリティイベントを検出に変換し、観測されたアクティビティに基づいて重大度と信頼度を割り当てる検知機 | app:event-filter:email | はい |
| Endpoint Watchlists | エンドポイントインテグレーションから取得した検出をXDRに統合し、CTUがキュレーションしたWatchlistを正規化されたエンドポイントテレメトリーに適用する検知機 | app:event-filter | はい |
| Hands-On-Keyboard | 機械学習モデルを用いて一定期間のプロセスイベントをスコアリングし、Hands-On-Keyboardアクティビティの可能性を特定する検知機 | app:detect:hands-on-keyboard | いいえ |
| Impossible Travel | 認証に関連するログオンイベントを解析し、単一ユーザーのログオンイベント間で物理的に不可能な移動が発生していることを示す異常な組み合わせを検知する検知機 | app:detect:impossible-travel | はい |
| IP Watchlist | 既知の悪性IPアドレスを含むnetflowイベントを特定する検知機 | app:threat-intel-enrichment-netflow:v0.3.0 | はい |
| Kerberoasting | 攻撃者がKerberos Ticket Granting Service (TGS) サービステケット (ST) を収集・抽出し、オフラインでアカウントのパスワードハッシュを解析して平文パスワードを取得しようとする攻撃を特定する検知機 | app:detect:kerberoasting-detector | いいえ |
| Network IDS | Network IDSイベントを検出に変換する検知機 | app:event-filter:nids | はい |
| Password Spray | 一般的なアカウント名やよく使われるパスワードを用いてログインを試行し、アカウント認証情報の窃取を試みる行為を特定する検知機 | app:detect:password-spray-detector | はい |
| Penetration Test | ペネトレーションテストが実施されている可能性を特定する検知機 | app:detect:tactic-detector | いいえ |
| Portscanning and Broadscanning | 攻撃者が環境内の資産に対して攻撃機会となりうるオープンポートを探索しようとする試みを特定する検知機 | app:detect:portscanning および app:detect:broadscanning | はい |
| Punycode | Punycodeを用いて正規のURLに偽装したフィッシングドメインを検知する検知機 | app:detect:punycode | はい |
| Quick Mail Consent (MS O365) | MS o365において Mail.Read または Mail.ReadWrite 権限および関連するアプリケーション権限セットが付与されたことを検知する検知機 |
app:detect:o365-quick-mail-consent | はい |
| Rare Program to Rare IP | プログラムとIPアドレス間の異常な接続を検知する検知機 | app:detect:rare-process-to-rare-ip | いいえ |
| SharpHound | SharpHoundデータコレクターがデフォルトの収集方法でネットワーク上で実行された事例を特定する検知機 | app:detect:sharphound | いいえ |
| Snapshot Exfiltration | 不正なAWS EC2スナップショットのエクスポートを検知する検知機 | app:detect:snapshot-exfiltration | いいえ |
| Stolen User Credentials | 複数のソースからのシグナルを組み合わせ、単一ユーザーの認証情報が窃取された疑いを特定する検知機 | app:detect:stolen-user-credentials | はい |
| Suspicious DNS Activity | マルウェアによって実行された可能性のあるDNSクエリを検知する検知機 | app:detect:suspicious-dns | はい |
| Tactic Graph | 攻撃者の行動をモデル化し、脅威を検知する検知機 | app:detect:tactic-detector | いいえ |
| Taegis™ NDR | Secureworks独自のシグネチャを用いてネットワークベースの脅威をリアルタイムで防御する検知機 | app:event-filter:nids | はい |
| Taegis Watchlist | 取り込まれた任意のデータソースからの正規化されたテレメトリーに対して、Secureworks CTUがキュレーションしたルールセットを適用し、脅威を検知する検知機 | app:event-filter | はい |