コンテンツにスキップ

Secureworks® Taegis™ 用語集🔗

注意

この用語集およびSecureworks® Taegis™ XDRドキュメントサイト全体で使用されている定義は、XDRアプリケーションの利用を目的としています。法的な定義については、お客様の組織に適用されるSecureworksのサービス説明書をご参照ください。

ヒント

データソースの連携に関連する用語については、データソースインテグレーションの定義をご覧ください。

エージェント🔗

XDRが認識し、レポートや検出のために監視しているお客様の組織ネットワーク内のデバイス。

API🔗

アプリケーションプログラミングインターフェース。Taegisプラットフォームによってお客様に提供される一連のソフトウェア機能であり、プラットフォーム内のさまざまな機能にプログラム的にアクセスできるようにします。これにより、お客様やサードパーティのソフトウェアと連携し、自動化やレポート作成などに一般的に利用されます。

ケース🔗

潜在的なセキュリティインシデントに関する検知、イベント、エージェント、その他のデータを集約したものであり、お客様や組織の他のメンバーが解決に取り組みます。以前は「インベスティゲーション」と呼ばれていました。

コレクター🔗

XDRがログを収集するために使用するオンプレミスおよびクラウドベース(仮想)のデバイス。

信頼度🔗

検出が正確で不正なアクティビティを表していると当社のシステムがどれだけ確信しているかを1~100の範囲で示す指標。スコアが高いほど、検出が本物の不正なアクティビティである可能性が高いことを示します。

接続🔗

自動化において、お客様が設定するコネクターのインスタンス。接続は、XDRがお客様の環境内のITツールに認証するための方法や、認証先のURLを提供します。

コネクター🔗

自動化において、XDRが外部ITツールと通信する方法を定義するものであり、プレイブックがベンダーによって公開されたAPIコールを実行できるようにします。

CTU対策🔗

SnortベースのセンサーおよびSuricataベースのセンサーにデプロイ可能なルールセット。

データソース🔗

ネットワーク内でテレメトリーをXDRに送信するセンサー。

検出🔗

検知機からのイベントに基づきXDRで作成される通知であり、さらなる調査が必要なアクティビティをお知らせします。以前は「アラート」と呼ばれていました。

検知機🔗

ネットワーク内のデバイスで、環境データを継続的に監視し、不正なアクティビティを検出します。

エッジ🔗

エンティティグラフにおいて、エンティティ間の関係やアクティビティを表す方向性のある線。

EDR🔗

エンドポイント検知&対応

エンドポイント🔗

XDRが認識し、レポートや検出のために監視しているお客様の組織ネットワーク内のデバイス。エンドユーザーのコンピューティングインスタンス(ノートブック、ラップトップ、ワークステーション、VDIインスタンス)、物理サーバー、仮想サーバー、またはコンピューティングワークロード(Linux、Unix、macOS、WindowsなどのサーバーOSのインストール)を含みます。

エンティティ🔗

ケースの一部であるイベントから抽出されたデータで、インシデントに関与したもの。ユーザー名、ホスト名、IPアドレス、ファイルなどが含まれますが、これらに限定されません。

イベント🔗

お客様の環境内で発生した個々のセキュリティ関連の出来事(例:ログエントリ)であり、効率的なソフトウェアおよび人によるアクセスのために標準化フォーマットに正規化されています。Taegis XDRのイベントフィールドは、詳細検索、レポート、検出で利用可能です。

発見事項🔗

Taegis IDRモジュールによって実施された体制チェックの結果。発見事項には関連するリスクレベルがあり、優先的に対応すべきものを判断する際に利用します。

ID🔗

エンティティ(人、組織、ソフトウェアプログラム、他のコンピュータなど)をコンピュータが識別するための一意の識別子の集合。

インテグレーション🔗

XDRと連携しているコレクター、API、またはデータソース。

iSensor🔗

現在のTaegis Network Detection and Response(NDR)ソリューションの旧名称。

MITRE ATT&CKフレームワーク🔗

MITRE ATT&CKは、実際の観測に基づく攻撃者の戦術や技術のグローバルにアクセス可能なナレッジベースです。ATT&CKナレッジベースは、サイバーセキュリティ製品およびサービスコミュニティにおける特定の脅威モデルや手法の開発の基盤として使用されます。

多要素認証🔗

(MFA)ログイン時にユーザーのIDを確認するために複数の認証方法を使用すること(例:ユーザー名/パスワード+携帯電話のセキュリティトークン)。

ノード🔗

エンティティグラフにおいて、ケースに関連付けられたエンティティの表現。

正規化されたイベント🔗

生のイベントをデータベーススキーマにパースしたものであり、検索、セキュリティ検出、その他のアクティビティなどの一般的な作業を容易にします。

プレイブック🔗

自動化において、1つ以上の設定済み接続を使用して、どのアクションをいつ実行するかを定義するもの。

優先度🔗

ケースにおいて、そのアクティビティが組織に与える重要性や潜在的な影響。

クエリ言語🔗

XDRで利用可能な検出やイベントを検索するための高度なツール。

Research🔗

RESEARCHで始まる検出は、研究開発段階の検知機/機能によって生成されます。この段階では精度や再現率を測定します。ドキュメントは後の段階で更新されます。

ルール🔗

生成された検出(検出抑止ルール)または取り込まれたイベント(カスタム検出ルール)に対するパターンマッチ。マッチが成功すると、関連するアクション(例:検出の抑止や新たな検出の作成)が実行されます。

重大度🔗

検出において、あるアクティビティが環境に与える潜在的な脅威の大きさを示す指標。重大度スコアは0~1の範囲で、スコアが高いほど脅威の可能性が高くなります。重大度はテキストラベルでも表され、Info(0~0.199...)、Low(0.2~0.399...)、Medium(0.4~0.599...)、High(0.6~0.799...)、Critical(0.8~1)となります。

Tactic Graphs™🔗

XDRの相関エンジンの商標名であり、複数のテレメトリーソースや検出を横断してパターンマッチし、新たな検出を作成します。

Taegis🔗

XDR、MDR、VDRなどのSecureworksアプリケーションを支えるプラットフォーム。

Taegis™ MDR🔗

(Taegis Managed Detection and Response)Taegisセキュリティ分析・運用プラットフォームを通じて提供されるフルマネージドソリューションであり、エンドポイント、ネットワーク、クラウド環境全体にわたる高度な脅威ハンティング、検出、迅速な対応を実現します。

Taegis™ MDR Elite🔗

(Taegis Managed Detection and Response Elite)専任のSecureworksエキスパートがエンドポイント、ネットワーク、クラウド環境全体で事前かつ反復的な脅威ハンティングを実施し、組織の標的型脅威への曝露状況について隔週で最新情報を提供するフルマネージドソリューション。

Taegis™ NDR🔗

(Taegis Network Detection and Response)このNDRソリューションは、ネットワーク全体のトラフィックを監視し、脅威の防止・検知・対応を行います。また、オープンなTaegisプラットフォームとシームレスに統合され、より包括的な保護を実現します。これはiSensorの進化版であり、新たな名称と今後拡張される機能を備えています。

Taegis™ XDR🔗

(Taegis Extended Detection and Response)高度なセキュリティ分析ツールであり、高度な脅威の検出、検出への信頼、ケースの効率的な管理・連携、適切なアクションの自動化を可能にします。

テレメトリー🔗

ルーター、ファイアウォール、スイッチなどのネットワークデバイスからリアルタイムで継続的に収集され、1つまたは複数の集中管理場所に保存・処理・分析されるデータ。

テナント🔗

多数のエンドポイントからのテレメトリーを集約し、単一の包括的なビューを提供するTaegisプラットフォーム上の環境。ほとんどのお客様は1つのテナントを持ちますが、大規模なニーズがある場合は複数のテナントが必要となることもあります。

脅威インテリジェンス🔗

70名以上のCounter Threat Unit™リサーチャーによって生成・分析・検証され、お客様のテレメトリーと自動的に相関されるデータ。これにより、最新の脅威や攻撃者の行動からお客様を保護します。

Watchlist🔗

XDRで検出を生成する検出ルールのグループを指す一般的な用語。これらのルールグループは、特定のテレメトリーや取り込みソース(例:IP WatchlistはNetflow、Domain WatchlistはDNSqueryなど)に適用されます。

ウィジェット🔗

定義済みのメトリクスのスナップショットを表示するダッシュボード要素。

データソースインテグレーションの定義🔗

注意

以下のデータソースインテグレーション用語は、XDRインテグレーションドキュメントで参照される正規化および検出の結果に関するものです。

カスタムインテグレーション🔗

データソースからTaegisへのデータ転送のみが保証されているインテグレーション。正規化、検索、検出などの下流の成果はテストされておらず、取り込み以外に追加作業が必要となる場合があります。

Genericスキーマ🔗

他の名前付きスキーマのデータ構造に適合しないすべての正規化イベントを格納できる「包括的」スキーマ。基本的な時系列相関や検索は可能ですが、詳細な検出や分析には適さない場合があります。

取り込み🔗

Taegis XDRがソースから生データを取得または受信するプロセス。この文脈での「生データ」とは、プラットフォームのデータモデル(スキーマ)に従ってまだ正規化や構造化が行われていないデータを指します。

連携する🔗

Taegisがデータソースからデータを収集・受信、またはその他の方法でアクセスできるようにするプロセス。

正規化🔗

非構造化データを構造化データにするプロセス。Taegis XDRの場合、データを1つまたは複数のTaegis XDRスキーマに分類し、関連するデータ要素をそれらのスキーマ内の事前定義フィールドに抽出します。データが構造化されると「イベント」と呼ばれます。このレベルのインテグレーションでは以下が提供されます:

  • データ保持
  • イベント検索
  • イベントレポート
  • ピボットおよびマルチスキーマ検索

正規化されたデータ🔗

構造化された非構造化データ。Taegis XDRの場合、データを1つまたは複数のTaegis XDRスキーマに分類し、関連するデータ要素をそれらのスキーマ内の事前定義フィールドに抽出します。データが構造化されると「イベント」と呼ばれます。このレベルのインテグレーションでは以下が提供されます:

  • データ保持
  • イベント検索
  • イベントレポート
  • ピボットおよびマルチスキーマ検索

最適化されたインテグレーション🔗

データソースおよび取り込み経路を対象としたエンドツーエンドのインテグレーションであり、正規化、検索、検出などの下流の成果が事前に決定・テスト・文書化されています。

汎用的な検知🔗

データソースからのログが1つ以上のXDRスキーマに正規化され、XDRネイティブ検知機と互換性があります。検知はWatchlist、Tactic Graphs Detector、またはAdvanced Detectorsによって生成される場合があります。

Roadrunner🔗

非エンドポイント/EDRデータ向けのTaegisデータ正規化エンジンであり、非構造化データを受け取り、イベントとして構造化します。

スキーマ🔗

netflow、auth、httpなどのような、構造化データの名前付き分類。

TRIP🔗

Taegis Remote Ingest Platform。REST対応APIやストリーミングサービスと幅広く連携可能なプラットフォーム。定期的なポーリングを利用してデータをXDRに定期取得します。

ベンダー固有の検知🔗

データソースからのログが1つ以上のXDRスキーマに正規化され、このデータソース専用に作成された検知機と互換性があります。XDRの検知は、ベンダー検知のWatchlistやTactic Graphs Detectorへの昇格によって生成される場合があります。