コンテンツにスキップ

ドメインWatchlist🔗

ドメインWatchlist(ブロックリスト)検知機は、Secureworks Counter Threat Unit™ (CTU)脅威インテリジェンスが精選した不審なドメインのリストを使用し、サポートされているエンドポイントおよびSyslogデータソースから収集されたDomain Name System(DNS)テレメトリーと比較します。不審なドメインがテナントのテレメトリーで特定されると、検出が生成されます。検出には、不審なドメインが参照されたリスト、そのドメインが不審とされる理由、および関連する信頼度が含まれます。ドメインが複数のリストに存在する場合、検出サマリー内にリストの数が表示されます。さらに、検出の説明には各リスト、理由、信頼度が含まれます。

ドメインWatchlist検知機は相関機能も備えており、同じドメインに対する後続の一致は既存の検出に追加されます。これにより、お客様は手動で検索することなく、どのホストが不審なドメインと通信しているかを迅速に確認できます。

注意

Taegis™ NDRはSecureworksの不正なドメインリストを自動的にダウンロードし、リアルタイムで不正なドメインを検知するためにレピュテーションプリプロセッサ内で使用します。

ドメインWatchlist検出

要件🔗

この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。

  • DNS(DNSスキーマに寄与する任意のデータソース経由)

入力🔗

この検知は、以下の正規化されたソースから生成されます。

  • DNS

出力🔗

この検知機からの検出は、XDR検出データベースおよび検出トリアージダッシュボードに送信されます。

設定オプション🔗

この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されています。

MITRE ATT&CKカテゴリ🔗

この検知機にはMITREマッピングがありません。

検知機テスト🔗

この検知器にはサポートされているテスト方法があります。

FROM alert WHERE metadata.creator.detector.detector_id='app:detect:domain_blacklist'

参考情報🔗

  • スキーマ