Taegis™ NDR 検知機

注意

Taegis NDRはiSensorの進化版であり、新しい名称とまもなく拡張される機能を備えています。この移行期間中、一部でiSensorのブランド名が参照されている場合があります。

Taegis™ NDR の詳細については、Taegis™ NDR の概要をご覧ください。

Taegis™ NDR は、ネットワーク内に仮想または物理アプライアンスとして展開できるNetwork IDS/IPSソリューションです。Secureworks独自のシグネチャを活用し、ネットワークベースの脅威をリアルタイムで検出・防御します。さらに、NDR Device はSecureworksが厳選した脅威インジケーター（IPアドレスおよびドメイン）を自動的にダウンロードし、ネットワーク上で発生する不正な接続を特定します。NDR は、Secureworks® Taegis™ MDR に含まれる場合がある、別途契約が必要な機能です。

NDR Device は、以下の検知機で利用されるネットワークテレメトリーも継続的に収集します。

• Domain Generation Algorithms
• Rare Program to Rare IP
• Stolen Credentials
• Tactic Graphs™ Detector
• Punycode Detector
• IP Watchlist
• Domain Watchlist

要件

この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。

• NDRデバイス
• 検出、NIDS、Netflow

入力

検出は、以下の正規化されたソースから行われます。

• 検出、NIDS、Netflow

出力

この検知機からの検出は、XDR 検出データベースおよび検出トリアージダッシュボードに送信されます。

設定オプション

この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。

MITRE ATT&CK カテゴリ

MITREのマッピングは検出シグネチャに基づきます。具体的なマッピングについては検出内容をご確認ください。

検知機テスト

この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。

注意

サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。

FROM detection WHERE metadata.creator.detector.detector_id='app:event-filter:nids' AND sensor_types='ISENSOR'

参考情報

• 検知機
  • Domain Generation Algorithms
  • Rare Program to Rare IP
  • Stolen Credentials
  • Tactic Graphs™ Detector
  • Punycode Detector
  • IP Watchlist
  • Domain Watchlist
• スキーマ
  • NIDS
  • Netflow