検知機の概要🔗
Secureworks® Taegis™ XDR には、環境データを継続的に監視し、不正なアクティビティを検知する検知機が含まれています。下記の表は利用可能な検知機の一覧です。各検知機の詳細については、表内のリンクまたはナビゲーションから該当ページをご覧ください。
ヒント
XDR Creator 列を利用して、詳細検索クエリ言語で指定した検知機によって作成された検出を特定するための検知機名を確認できます。例:FROM detection WHERE metadata.creator.detector.detector_id='creator-name'
注意
一部の検知機は現在 event_ID の参照のみを含み、ContributingEvents を提供していません。この場合、検知サービスがイベントデータを保存できないため、XDRはこれらの検知機に対してイベントデータを用いた検索ができません。該当するものは「基礎となるイベントを用いた検索が可能」列で示されています。
利用可能な検知機🔗
| 検知機タイプ | 説明 | XDR Creator | 基礎となるイベントを用いた検索が可能 |
|---|---|---|---|
| Account Compromise | ユーザーのログインおよびログイン後の挙動に関連する複数のエンティティを組み合わせ、攻撃者による乗っ取りの兆候があるアカウントを特定する検知機 | app:detect:account-compromise-aggregator | いいえ |
| Bring Your Own Threat Intel | 脅威インテリジェンスのインジケーターリストを連携し、正規化されたテレメトリー内でそれらのインジケーターが検出された際に検出を生成する検知機 | app:detect:byoti | いいえ |
| Brute Force | パスワードの繰り返し試行を検知する検知機 | app:detect:brute-force-detector | いいえ |
| Business Email Compromise | 攻撃者がO365メールアカウントに対して使用する特定の手法を検知する検知機 | app:event-filter:bec | はい |
| Cloud Recon to Change | ユーザーによるAWS RDSデータの異常な持ち出しを特定する検知機 | app:detect:cloud-unusual-recon-user | はい |
| Cloud Watchlist | パブリッククラウド資産を監視するセキュリティプロバイダーからのイベントをXDRの検出に変換する検知機 | app:event-filter:cloudwatchlist | はい |
| Domain Generation Algorithms | ネットワーク接続データ内の不審なドメインに対して検出を生成する検知機 | app:detect:dga | はい |
| Domain Watchlist | CTUおよびサードパーティの脅威インジケーターフィードを利用して不正なドメインを検知する検知機 | app:detect:domain_blacklist | はい |
| Email Watchlist | サードパーティのEmailセキュリティイベントを検出に変換し、観測されたアクティビティに基づいて重大度と信頼度を割り当てる検知機 | app:event-filter:email | はい |
| Endpoint Watchlists | エンドポイントインテグレーションから取得した検出をXDRに集約し、正規化されたエンドポイントテレメトリーにCTUがキュレーションしたWatchlistを適用する検知機 | app:event-filter | はい |
| Hands-On-Keyboard | 機械学習モデルを用いて一定期間のプロセスイベントをスコアリングし、潜在的なHands-On-Keyboardアクティビティを特定する検知機 | app:detect:hands-on-keyboard | いいえ |
| Impossible Travel | 認証に関連するログオンイベントを解析し、単一ユーザーのログオンイベント間で物理的に不可能な移動が発生していることを示す異常な組み合わせを検知する検知機 | app:detect:impossible-travel | はい |
| IP Watchlist | 既知の悪性IPアドレスを含むnetflowイベントを特定する検知機 | app:threat-intel-enrichment-netflow:v0.3.0 | はい |
| Kerberoasting | 攻撃者がKerberos Ticket Granting Service (TGS) サービステケット (ST) を利用してアカウントのパスワードハッシュをオフラインで収集・抽出・解析し、平文パスワードを取得する攻撃を特定する検知機 | app:detect:kerberoasting-detector | いいえ |
| Network IDS | Network IDSイベントを検出に変換する検知機 | app:event-filter:nids | はい |
| Password Spray | 一般的なアカウント名やよく使われるパスワードを用いてログインを試行し、アカウント認証情報の窃取を試みる行為を特定する検知機 | app:detect:password-spray-detector | はい |
| Penetration Test | ペネトレーションテストが実施されている可能性を特定する検知機 | app:detect:tactic-detector | いいえ |
| Portscanning and Broadscanning | 攻撃者が環境内の資産に対して攻撃機会となりうるオープンポートを探索しようとする試みを特定する検知機 | app:detect:portscanning および app:detect:broadscanning | はい |
| Punycode | Punycodeを利用して正規のURLに偽装したフィッシングドメインを検知する検知機 | app:detect:punycode | はい |
| Quick Mail Consent (MS O365) | MS o365において Mail.Read または Mail.ReadWrite 権限および関連するアプリケーション権限セットが付与されたことを検知する検知機 |
app:detect:o365-quick-mail-consent | はい |
| Rare Program to Rare IP | プログラムとIPアドレス間の異常な接続を検知する検知機 | app:detect:rare-process-to-rare-ip | いいえ |
| SharpHound | SharpHoundデータコレクターがデフォルトの収集方法でネットワーク上で実行された事例を特定する検知機 | app:detect:sharphound | いいえ |
| Snapshot Exfiltration | 不正なAWS EC2スナップショットのエクスポートを検知する検知機 | app:detect:snapshot-exfiltration | いいえ |
| Stolen User Credentials | 複数のソースからのシグナルを組み合わせ、単一ユーザーの認証情報が盗まれた疑いがある場合を特定する検知機 | app:detect:stolen-user-credentials | はい |
| Suspicious DNS Activity | マルウェアによって実行された可能性のあるDNSクエリを検知する検知機 | app:detect:suspicious-dns | はい |
| Tactic Graph | 攻撃者の行動をモデル化し、脅威を検知する検知機 | app:detect:tactic-detector | いいえ |
| Taegis™ NDR | Secureworks独自のシグネチャを用いてネットワークベースの脅威をリアルタイムで防御する検知機 | app:event-filter:nids | はい |
| Taegis Watchlist | 任意の取り込みデータソースから得られる正規化されたテレメトリーに対し、Secureworks CTUがキュレーションしたルールセットを適用して脅威を検知する検知機 | app:event-filter | はい |