IP Watchlist🔗
IP Watchlist検知機は、Secureworks Counter Threat Unit™ (CTU)脅威インテリジェンスによってキュレーションされた不審なIPアドレスのリストを使用し、サポートされているエンドポイントおよびSyslogデータソースから収集されたNetflowテレメトリーと比較します。不審なIPがテナントのテレメトリーで特定されると、検知が生成されます。検知には、不審なIPが参照されたリストと、そのIPが不審とされる理由が検知の説明内に含まれます。
注意
Taegis™ NDRは、Secureworksの不正IPアドレスリストを自動的にダウンロードし、リアルタイムで不正なトラフィックを検知するためにレピュテーションプリプロセッサ内で使用します。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- Netflowの送信元および宛先IPイベント
- エンドポイントNetflowイベント
入力🔗
この検知は、以下の正規化されたソースから生成されます。
- Auth、Netflow
出力🔗
この検知機からの検知は、XDR検知データベースおよび検知トリアージダッシュボードに送信されます。
- 一致したIPアドレスが宛先の場合、高い検知重大度
- 一致したIPアドレスが送信元の場合、低い検知重大度
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CKカテゴリ🔗
この検知機にはMITREマッピングがありません。
検知機テスト🔗
この検知機にはサポートされているテスト方法があります。
FROM detection WHERE metadata.creator.detector.detector_id='app:detect:threat-intel-enrichment-netflow'
検知機テスト検知 - Netflow Threat Intelを参照してください。
参考情報🔗
- スキーマ