コンテンツにスキップ

Secureworks® Taegis™ 用語集🔗

注意

この用語集およびSecureworks® Taegis™ XDRドキュメントサイト全体で使用されている定義は、XDRアプリケーションの利用を目的としています。法的な定義については、お客様の組織に適用されるSecureworksのサービス説明書をご参照ください。

ヒント

データソースの連携に関連する用語については、データソース連携の定義をご覧ください。

エージェント🔗

XDRが認識し、レポートや検知のために監視しているお客様組織内のネットワーク上のデバイス。

API🔗

アプリケーションプログラミングインターフェース。Taegisプラットフォームが提供する一連のソフトウェア機能であり、プラットフォーム内のさまざまな機能にプログラムでアクセスできるようにすることで、一般的に自動化やレポート作成などの目的でお客様やサードパーティのソフトウェアと連携することができます。

ケース🔗

潜在的なセキュリティインシデントに関する検知、イベント、エージェント、その他のデータを集約したものであり、お客様や組織の他のメンバーが解決に向けて取り組みます。以前は「インベスティゲーション」と呼ばれていました。

コレクター🔗

XDRがログを収集するために使用するオンプレミスおよびクラウドベース(仮想)のデバイス。

信頼度🔗

検知が正確で不正なアクティビティを表していると当社のシステムがどれだけ確信しているかを1~100の範囲で示す指標です。スコアが高いほど、その検知が本物の不正なアクティビティを示している可能性が高いことを意味します。

接続🔗

自動化において、お客様が設定するコネクターのインスタンス。接続は、XDRがお客様の環境内のITツールに認証する方法や、認証先のURLを提供します。

コネクター🔗

自動化において、XDRが外部ITツールと通信する方法を定義し、プレイブックがベンダーによって公開されたAPIコールを実行できるようにします。

CTU対策🔗

SnortベースのセンサーおよびSuricataベースのセンサーにデプロイ可能なルールセット。

データソース🔗

ネットワーク内でテレメトリーをXDRに送信するセンサー。

検出🔗

検知機からのイベントに基づきXDRで作成される通知であり、さらなる調査が必要なアクティビティをお客様に通知します。以前は「アラート」と呼ばれていました。

検知機🔗

お客様のネットワーク内で、環境データを継続的に監視し、不正なアクティビティを検出するデバイス。

エッジ🔗

エンティティグラフにおいて、エンティティ間の関係やアクティビティを表す方向性のある線。

EDR🔗

エンドポイント検知&対応

エンドポイント🔗

XDRが認識し、レポートや検知のために監視しているお客様組織内のネットワーク上のデバイス。エンドユーザーのコンピューティングインスタンス(例:ノートブック、ラップトップ、ワークステーション、VDIインスタンス)、物理サーバー、仮想サーバー、またはコンピューティングワークロード(サーバーOSのインストール例:Linux、Unix、macOS、Windows)を含みます。

エンティティ🔗

ケースの一部であるイベントから抽出されたデータで、インシデントに関与したもの。ユーザー名、ホスト名、IPアドレス、ファイルなどが含まれますが、これらに限定されません。

イベント🔗

お客様の環境内で発生した個々のセキュリティ関連の出来事(例:ログエントリ)であり、ソフトウェアや人間が効率的にアクセスできるよう標準化されたフォーマットに正規化されています。Taegis XDRのイベントフィールドは、詳細検索、レポート作成、検出に利用できます。

発見事項🔗

Taegis IDRモジュールによって実施された体制チェックの結果。発見事項には関連するリスクレベルがあり、優先的に対応すべきものを判断する際に利用します。

ID🔗

コンピューターがエンティティ(人、組織、ソフトウェアプログラム、または他のコンピューターなど)を識別するための一意の識別子の集合。

インテグレーション🔗

XDRと連携しているコレクター、API、またはデータソース。

iSensor🔗

現在のTaegis Network Detection and Response(NDR)ソリューションの旧名称。

MITRE ATT&CKフレームワーク🔗

MITRE ATT&CKは、実際の観測に基づく攻撃者の戦術や技術に関するグローバルにアクセス可能なナレッジベースです。ATT&CKナレッジベースは、サイバーセキュリティ製品およびサービスコミュニティにおける特定の脅威モデルや手法の開発の基盤として使用されます。

多要素認証🔗

(MFA)ログイン時にユーザーのIDを確認するために複数の認証方法を使用すること(例:ユーザー名/パスワード+携帯電話のセキュリティトークン)。

ノード🔗

エンティティグラフにおいて、ケースに関連付けられたエンティティの表現。

正規化されたイベント🔗

生のイベントをデータベーススキーマにパースしたものであり、検索やセキュリティ検出、その他のアクティビティなどの一般的な作業を容易にします。

プレイブック🔗

自動化において、1つ以上の設定済み接続を使用して、どのアクションをいつ実行するかを定義するもの。

優先度🔗

ケースにおいて、そのアクティビティが組織に与える重要性や潜在的な影響。

クエリ言語🔗

XDRで利用できる検出やイベントを検索するための高度なツール。

リサーチ🔗

RESEARCHで始まる検出は、リサーチ開発段階の検知機/機能によって生成されます。この段階では精度や再現率を測定します。ドキュメントは後の段階で更新されます。

ルール🔗

生成された検出(検出抑止ルール)または取り込まれたイベント(カスタム検出ルール)に対するパターンマッチです。マッチが成功すると、関連するアクション(例:検出の抑止や新規検出の作成)が実行されます。

重大度🔗

検出において、あるアクティビティが環境に与える潜在的な脅威の大きさを示す指標。重大度スコアは0~1の範囲で表され、スコアが高いほど脅威の可能性が高くなります。重大度はテキストラベルでも表され、Info(0~0.199...)、Low(0.2~0.399...)、Medium(0.4~0.599...)、High(0.6~0.799...)、Critical(0.8~1)となります。

Tactic Graphs™🔗

複数のテレメトリーソースや検出を横断してパターンマッチし、新たな検出を作成できるXDRの相関エンジンの商標名。

Taegis🔗

XDR、MDR、VDRなどのSecureworksアプリケーションを支えるプラットフォーム。

Taegis™ MDR🔗

(Taegis Managed Detection and Response)Taegisセキュリティ分析・運用プラットフォームを通じて提供されるフルマネージドソリューションであり、エンドポイント、ネットワーク、クラウド環境全体にわたる高度な脅威ハンティング、検知、迅速な対応を実現します。

Taegis™ MDR Elite🔗

(Taegis Managed Detection and Response Elite)専任のSecureworksエキスパートがエンドポイント、ネットワーク、クラウド環境全体で事前かつ反復的な脅威ハンティングを実施し、組織の標的型脅威への曝露状況について隔週でアップデートを提供するフルマネージドソリューション。

Taegis™ NDR🔗

(Taegis Network Detection and Response)このNDRソリューションは、ネットワーク全体のトラフィックを監視し、脅威の防止・検知・対応を行います。また、オープンなTaegisプラットフォームとシームレスに連携し、より包括的な保護を実現します。これはiSensorの進化版であり、新たな名称と今後拡張される機能を備えています。

Taegis™ XDR🔗

(Taegis Extended Detection and Response)高度なセキュリティ分析ツールであり、高度な脅威の検出、検知への信頼、ケースの効率的な管理・連携、適切なアクションの自動化を可能にします。

テレメトリー🔗

ルーター、ファイアウォール、スイッチなどのネットワークデバイスからリアルタイムで継続的に収集され、1つまたは複数の集中管理場所に保存・処理・分析されるデータ。

テナント🔗

多数のエンドポイントからのテレメトリーを集約し、単一の包括的なビューを提供するTaegisプラットフォーム上の環境。ほとんどのお客様は1つのテナントを持ちますが、大規模なニーズがある場合は複数のテナントが必要となることもあります。

脅威インテリジェンス🔗

70名以上のCounter Threat Unit™リサーチャーによって生成・分析・検証され、お客様のテレメトリーと自動的に相関されるデータ。最新の脅威や攻撃者の行動からお客様を保護します。

Watchlist🔗

XDRで検出を生成する検出ルールのグループを指す一般的な用語。これらのルールグループは、特定のテレメトリーや取り込みソース(例:IP WatchlistはNetflowにマッチ、Domain WatchlistはDNSqueryにマッチなど)に適用されます。

ウィジェット🔗

定義されたメトリクスのスナップショットを表示するダッシュボード要素。

データソース連携の定義🔗

注意

以下のデータソース連携用語は、XDRインテグレーションドキュメントで参照される正規化および検出の成果に関するものです。

カスタムインテグレーション🔗

データソースからTaegisへのデータ転送のみが保証されているインテグレーション。正規化、検索、検出などの下流成果はテストされておらず、取り込み以降に追加作業が必要となる場合があります。

Genericスキーマ🔗

他の名前付きスキーマのデータ構造に適合しないすべての正規化イベントを格納できる「包括的」スキーマ。基本的な時系列相関や検索は可能ですが、詳細な検出や分析には適さない場合があります。

取り込み🔗

Taegis XDRがソースから生データを取得または受信するプロセス。この文脈での「生データ」とは、プラットフォームのデータモデル(スキーマ)に従ってまだ正規化や構造化が行われていないデータを指します。

連携する🔗

Taegisがデータソースからデータを収集・受信、またはその他の方法でアクセスできるようにするプロセス。

正規化🔗

非構造化データを構造化データにするプロセス。Taegis XDRの場合、データを1つまたは複数のTaegis XDRスキーマに分類し、関連するデータ要素をそれらのスキーマ内の事前定義フィールドに抽出します。データが構造化されると「イベント」と呼ばれます。このレベルのインテグレーションでは以下が可能です:

  • データ保持
  • イベント検索
  • イベントレポート
  • ピボットおよびマルチスキーマ検索

正規化されたデータ🔗

構造化された非構造化データ。Taegis XDRの場合、データを1つまたは複数のTaegis XDRスキーマに分類し、関連するデータ要素をそれらのスキーマ内の事前定義フィールドに抽出します。データが構造化されると「イベント」と呼ばれます。このレベルのインテグレーションでは以下が可能です:

  • データ保持
  • イベント検索
  • イベントレポート
  • ピボットおよびマルチスキーマ検索

最適化されたインテグレーション🔗

データソースおよび取り込み経路を対象としたエンドツーエンドのインテグレーションであり、正規化、検索、検出などの下流成果が事前に決定・テスト・文書化されています。

汎用的な検知🔗

データソースからのログが1つ以上のXDRスキーマに正規化され、XDRネイティブ検知機と互換性があります。検知はWatchlist、Tactic Graphs Detector、および/または高度な検知機によって生成される場合があります。

Roadrunner🔗

非エンドポイント/EDRデータ向けのTaegisデータ正規化エンジンであり、非構造化データを受け取り、イベントとして構造化します。

スキーマ🔗

netflow、auth、httpなどのような構造化データの名前付き分類。

TRIP🔗

Taegis Remote Ingest Platform。REST対応APIやストリーミングサービスなど、さまざまなサービスと連携可能なプラットフォーム。定期的なポーリングを利用してXDRにデータを定期的に取得します。

ベンダー固有の検知🔗

データソースからのログが1つ以上のXDRスキーマに正規化され、このデータソース専用に作成された検知機と互換性があります。XDRの検知は、ベンダー検知のWatchlistやTactic Graphs Detectorへの昇格によって生成される場合があります。