コンテンツにスキップ

FAQ: Genericイベントと正規化データ🔗

XDRのGenericイベントで何が変わりますか?

Secureworks® Taegis™ XDRは、正規化されていないデータのみをGenericイベントとして保存するようになります。このGenericイベントの削減により、Genericイベントを利用するXDRの各機能のパフォーマンスが向上します。

重要

すべての正規化イベントには、original_dataフィールドに元の未加工メッセージが含まれています。

この変更はいつ適用されますか?

カスタムルール、保存済み検索、またはGenericイベントを利用したレポートをお持ちの場合、2023年3月16日にお客様のテナントでGenericイベントの重複保存が無効化されます。

カスタムルール、保存済み検索、またはGenericイベントに依存するレポートがない場合、このアップデートはお客様のテナントに影響せず、2023年2月16日にデータの重複保存が無効化されます。

この変更で影響を受ける機能は何ですか?

  • Genericスキーマを利用した全イベントの検索 — すべてのイベントデータタイプを横断して検索する場合は、@rawまたはoriginal_dataを使用してください。イベントが正規化されているスキーマが分かっている場合は、適切な論理型を指定して検索するか、該当するイベントタイプに対してクエリを作成してください。

  • レポート — Genericイベントを利用したレポートがある場合は、既存のユースケースをカバーするために正規化データセットに対する追加レポートが必要かどうかを判断してください。

  • カスタムルール — Genericイベントに依存していたカスタムルールがある場合は、正規化イベントを考慮するように更新する必要があります。

  • 保存済み検索クエリFROM genericを利用した保存済み検索クエリがある場合は、追加のイベントタイプをカバーするために新たな保存済み検索が必要かどうかを判断してください。

既存のGenericイベントは削除されますか?

いいえ。ただし、過去の重複したGenericイベントは、適用される保持ポリシーに従って期限切れとなります。

カスタムルールを更新する必要があるかどうかは、どのように評価できますか?

以下の検索を利用することで、2023年3月16日以降に作成されなくなる過去のカスタム検出を見つけることができます。

from detection
  metadata.creator.detector.detector_id contains 'app:event-filter-ql'
  and generic.normalized_resource_ids is not null

各一意の検出タイトルごとに、重複するためには異なるルールが必要です。

検出を開き、ソースイベントの正規化データを表示します。JSONオブジェクトnormalized_resource_idsを探してください。このオブジェクトには、このイベントの正規化バージョンへの参照が含まれています。正規化スキーマタイプはevent://priv:scwx.<normalize schema type>に含まれています。

新しいカスタムアラートルールを作成し、クエリ内の“generic”をnormalized_resource_idsフィールドのスキーマタイプに置き換えてください。

ヒント

Genericルールはそのまま残してください。正規化されていないデータが引き続き元のルールをトリガーする可能性があります。

上記は、Genericルールが十分な期間運用され、影響を受けるイベントでトリガーされていたことを前提としています。より包括的なチェックを行うには、次の質問で指定されているカスタムルールのクエリを利用してください。

保存済み検索、カスタムルール、またはレポートのクエリが影響を受けるかどうかをテストするには?

テストするには、既存のクエリを詳細検索にコピーし、次の条件を追加してください:normalized_resource_ids is not null。返されたイベントには、正規化バージョンのイベントを示すnormalized_resource_idsオブジェクトが含まれています。これらのGenericイベントは今後保存されなくなります。これらのイベントのnormalized_resource_idsオブジェクトに記載されている正規化イベントタイプを利用して、新しい検索クエリを作成できます。

この変更はログの保持に影響しますか?

いいえ。正規化イベントには、重複したGenericイベントと同じデータがすでに含まれています。これらのイベントには同じデータ保持ポリシーが適用されます。

Genericイベントに正規化イベントが存在するかどうかは、どのように確認できますか?

データの重複保存が無効化される前に発生したイベントについては、Genericイベントの正規化データタブで確認できます。normalized_resource_idsオブジェクトにイベントIDが含まれています。

次の詳細検索クエリは、正規化イベントが存在するすべてのGenericイベントを返します:FROM generic normalized_resource_ids IS NOT null。下記の画像は、Genericイベントに正規化されたAuthイベントが存在する例です。

正規化イベントが存在するGenericイベント

Genericに保存されていた重複データの例を教えてください。

例として、ファイアウォールのネットワーク接続ログはnetflowイベントとして保存され、同時にGenericイベントとしても重複保存されていました。今後はnetflowイベントのみがXDRに保存され、重複したGenericイベントは保存されません。netflowイベントには、original_dataフィールドに元の未加工メッセージが含まれます。

レポート、カスタムルール、保存済み検索でGenericクエリに追加クエリを組み合わせる例を教えてください。

次のような保存済みクエリやレポートがある場合:

FROM generic where original_data CONTAINS 'admin'

目的に応じた代替クエリ例:

  • @raw contains 'admin' — すべてのスキーマのoriginal_dataにadminが含まれるものを検索
  • @user contains 'admin' — すべてのスキーマで正規化されたユーザー名フィールドを検索
  • FROM auth where @user CONTAINS 'admin' — authイベントのみでユーザー名を検索
  • FROM process where @user CONTAINS 'admin' — processイベントのみでユーザー名を検索
正規化イベントにはすでにoriginal_dataフィールドに生データが含まれていますか?

はい。すべての正規化データには、original_dataフィールドに元の未加工メッセージが含まれています。そのため、同じメッセージをGenericスキーマにも保持する必要はありません。今後、Genericイベントは特定のスキーマに正規化されていないメッセージのみを保存します。@raw論理型を利用することで、すべてのスキーマ(Genericイベントを含む)のoriginal_dataを効率的に検索できます。

Genericイベントの詳細については、Genericイベントはどのように生成されるかをご参照ください。