IP Watchlist🔗
IP Watchlist検知機は、Secureworks Counter Threat Unit™ (CTU)脅威インテリジェンスが精選した不審なIPアドレスのリストを使用し、サポートされているエンドポイントおよびSyslogデータソースから収集されたNetflowテレメトリーと比較します。不審なIPがテナントのテレメトリーで特定されると、検出が生成されます。検出には、不審なIPが参照されたリストと、そのIPが不審とされる理由が検出の説明内に含まれます。
注意
Taegis™ NDRは、Secureworksの不正IPアドレスリストを自動的にダウンロードし、リアルタイムで不正なトラフィックを検知するためにレピュテーションプリプロセッサ内で使用します。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- Netflowの送信元および宛先IPイベント
- エンドポイントNetflowイベント
入力🔗
この検知は、以下の正規化されたソースから生成されます。
- Auth、Netflow
出力🔗
この検知機からの検出は、XDR検出データベースおよび検出トリアージダッシュボードに送信されます。
- 一致したIPアドレスが宛先の場合は高い検出重大度
- 一致したIPアドレスが送信元の場合は低い検出重大度
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CKカテゴリ🔗
この検知機にはMITREマッピングはありません。
検知機テスト🔗
この検知器にはサポートされているテスト方法があります。
FROM detection WHERE metadata.creator.detector.detector_id='app:detect:threat-intel-enrichment-netflow'
Detector Test Detections - Netflow Threat Intelを参照してください。
参考情報🔗
- スキーマ