エンドポイントWatchlist🔗
エンドポイントWatchlistは以下の目的で利用されます。
- サポートされているエンドポイントインテグレーションから取得した検知をSecureworks® Taegis™ XDRに集約するため
- 集約されたエンドポイント検知に、エージェントタイプに対応した検知機名を適用するため
- 正規化されたエンドポイントテレメトリーにSecureworks Counter Threat Unit™ (CTU)がキュレーションしたWatchlistを適用するため
Taegis Watchlist🔗
環境内でどのエンドポイントエージェントが利用されている場合でも、XDRは正規化されたエンドポイントテレメトリーにCTUがキュレーションしたWatchlistを適用します。このWatchlistは、正規化されたエンドポイントテレメトリー内の攻撃者の戦術やテクニックを特定します。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- Carbon Black Cloud Endpoint
- CrowdStrike
- Microsoft Defender for Endpoint
- SentinelOne
注意
Taegis Endpoint AgentおよびRed Cloak Endpoint Agentの検知は、XDR内で直接生成され、Secureworks® Taegis™ Watchlist検知機に表示されます。
入力🔗
検知は以下の正規化されたソースから取得されます。
出力🔗
この検知機からの検知は、XDR検知データベースおよび検知トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CKカテゴリ🔗
この検知機には直接的なMITREマッピングはありませんが、複数のフレームワークマッピングで利用可能です。
検知機テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を実行することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を実行することで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基盤となるデータが存在しないことを示している場合もあります。必要なスキーマがデータソースに提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
FROM detection WHERE metadata.creator.detector.detector_id='carbon-black-psc'
FROM detection WHERE metadata.creator.detector.detector_id='microsoft-atp-normalizer'
FROM detection WHERE metadata.creator.detector.detector_id='app:event-filter:sentinelone-threat'
FROM detection WHERE metadata.creator.detector.detector_id='app:event-filter:crowdstrike'