コンテンツにスキップ

FAQ: Genericイベントと正規化データ🔗

XDRのGenericイベントで何が変わりますか?

Secureworks® Taegis™ XDRは、正規化されていないデータのみをGenericイベントとして保存するようになります。Genericイベントの削減により、Genericイベントを利用するXDRの各機能のパフォーマンスが向上します。

重要

すべての正規化イベントには、original_dataフィールドに元の未加工メッセージが含まれています。

この変更はいつ適用されますか?

Genericイベントを利用したカスタムルール、保存済み検索、レポートがある場合、2023年3月16日にお客様のテナントでGenericイベントの重複保存が無効化されます。

Genericイベントに依存するカスタムルール、保存済み検索、レポートがない場合、このアップデートによる影響はなく、2023年2月16日にデータの重複保存が無効化されます。

この変更の影響を受ける機能は何ですか?

  • Genericスキーマを用いた全イベントの検索 — すべてのイベントデータタイプを横断して検索する場合は、@rawまたはoriginal_dataを使用してください。イベントが正規化されているスキーマが分かっている場合は、適切な論理型を指定して検索するか、該当するイベントタイプに対してクエリを作成してください。

  • レポート — Genericイベントを利用したレポートがある場合、既存のユースケースをカバーするために正規化データセットに対する追加レポートが必要かどうかを確認してください。

  • カスタムルール — Genericイベントに依存していたカスタムルールがある場合、正規化イベントを考慮するようにルールを更新する必要があります。

  • 保存済み検索クエリfrom genericを利用した保存済み検索クエリがある場合、追加のイベントタイプをカバーするために新たな保存済み検索が必要かどうかを確認してください。

既存のGenericイベントは削除されますか?

いいえ。ただし、過去の重複したGenericイベントは、適用される保持ポリシーに従って期限切れとなります。

自分のカスタムルールを更新する必要があるかどうかは、どのように評価できますか?

以下の検索を利用することで、2023年3月16日以降に作成されなくなる過去のカスタム検出を見つけることができます。

from detection
  metadata.creator.detector.detector_id contains 'app:event-filter-ql'
  and generic.normalized_resource_ids is not null

各一意の検出タイトルごとに、重複するルールが必要です。

検出を開き、ソースイベントの正規化データを表示します。JSONオブジェクトnormalized_resource_idsを探してください。このオブジェクトには、このイベントの正規化バージョンへの参照が含まれています。正規化スキーマタイプはevent://priv:scwx.<normalize schema type>に含まれています。

新しいカスタムアラートルールを作成し、クエリ内の“generic”をnormalized_resource_idsフィールドのスキーマタイプに置き換えてください。

ヒント

Genericルールはそのまま残しておいてください。正規化されていないデータが引き続き元のルールをトリガーする可能性があります。

上記は、Genericルールが十分な期間運用され、影響を受けるイベントでトリガーされていることを前提としています。より包括的な確認を行うには、次の質問で指定されているカスタムルールのクエリを利用してください。

保存済み検索、カスタムルール、レポートのクエリが影響を受けるかどうかをテストするには?

テストするには、既存のクエリを詳細検索にコピーし、次の条件を追加してください:normalized_resource_ids is not null。返されたイベントには、正規化バージョンのイベントをリストするnormalized_resource_idsオブジェクトが含まれています。これらのGenericイベントは今後保存されなくなります。これらのイベントのnormalized_resource_idsオブジェクトに記載されている正規化イベントタイプを用いて、新しい検索クエリを作成できます。

この変更はログの保持に影響しますか?

いいえ。正規化イベントには、重複したGenericイベントと同じデータがすでに含まれています。これらのイベントには同じデータ保持ポリシーが適用されます。

Genericイベントに正規化イベントが存在するかどうかは、どのように確認できますか?

データの重複保存が無効化される前に発生したイベントについては、Genericイベントの正規化データタブで確認できます。normalized_resource_idsオブジェクトにイベントIDが含まれています。

次の詳細検索クエリは、正規化イベントのカウンターパートが存在するすべてのGenericイベントを返します:from generic normalized_resource_ids is not null。下記の画像は、Genericイベントに正規化されたAuthイベントがあることを示しています。

正規化イベントのカウンターパートを持つGenericイベント

Genericに保存されている重複データの例を教えてください。

例として、ファイアウォールからのネットワーク接続ログはnetflowイベントとして保存され、同時にGenericイベントとしても重複保存されていました。今後は、XDRにはnetflowイベントのみが保存され、重複したGenericイベントは保存されません。netflowイベントにはoriginal_dataフィールドに元の未加工メッセージが含まれます。

レポート、カスタムルール、保存済み検索でGenericクエリに追加クエリを組み合わせる例を教えてください。

次のような保存済みクエリやレポートがある場合:

from generic where original_data contains 'admin'

目的に応じた代替クエリ例:

  • @raw contains 'admin' — すべてのスキーマのoriginal_dataにadminが含まれるものを検索
  • @user contains 'admin' — すべてのスキーマの正規化されたユーザー名フィールドを検索
  • from auth where @user contains 'admin' — authイベントのみでユーザー名を検索
  • from process where @user contains 'admin' — processイベントのみでユーザー名を検索
正規化イベントにはすでにoriginal_dataフィールドに生データが含まれていますか?

はい。すべての正規化データには、original_dataフィールドに元の未加工メッセージが含まれています。そのため、同じメッセージをGenericスキーマにも保持する必要はありません。今後、Genericイベントは特定のスキーマに正規化されていないメッセージのみを保存します。@raw論理型を利用することで、すべてのスキーマ(Genericイベントを含む)のoriginal_dataを効率的に検索できます。

Genericイベントの詳細については、Genericイベントはどのように生成されるかをご参照ください。