コンテンツにスキップ

ID検出結果🔗

ID検出結果

ID検出結果では、すべての検出結果がリスク順に並んだテーブルが表示されます。検出結果は、お客様のIDインフラストラクチャに対して実行される体制チェックの出力です。各検出結果には、以下のいずれかのステータス、割り当てられたリスクレベル、およびカテゴリがあります。

検出結果のステータス🔗

新しい検出結果のステータスは「オープン」に設定されており、検出結果の詳細からトリアージや問題の緩和に応じて調整できます。ステータスは以下の通りです。

  • オープン — 検出結果がまだ対応されていない、または環境内に存在しています。
  • 解決済み — 検出結果が対応または緩和されています。
  • 却下済み — 検出結果は想定されたものであり、対応の必要はありません。

検出結果のリスクレベル🔗

各検出結果には、基礎となるチェックおよび組織に与える潜在的なセキュリティリスクに基づいて、以下のいずれかのリスクレベルが割り当てられます。

  • 重大 — 重大なリスクをもたらすため、直ちに対応が必要です。
  • — 直ちに対応が必要です。
  • — 対応が必要ですが、重大なリスクではありません。
  • — 軽微なリスクです。
  • 情報 — リスクはほとんど、または全くありませんが、時間があるときに確認してください。

IDリスクレベル

検出結果のカテゴリ🔗

検出結果は、実施されたチェックの種類に基づいて分類され、該当する場合はMITRE ATT&CKフレームワークに準拠しています。

MITRE ATT&CKマッピング:

  • ユーザー行動
  • 設定
  • Entra条件付きアクセスのギャップ
  • 休眠リソース
  • ラテラルムーブメント
  • 資格情報の侵害
  • 永続化
  • 権限昇格
  • 防御回避
  • 情報流出
  • VIP露出

検出結果のトリアージ🔗

ID検出結果は、リスクレベルが最も高いものから優先的に対応することで、ID攻撃対象領域の縮小と体制スコアの向上に最も大きな効果があります。重大および高リスクの検出結果は、通知と是正対応の追跡を確実にするためにケースが生成されます。

重要

各検出結果およびその推奨事項は、お客様のビジネスニーズ、固有の環境、リスク許容度、および対応能力に基づいて評価する必要があります。これは、設定変更がユーザー、アプリケーション、アクセスに悪影響を及ぼす可能性があるため重要です。推奨事項を適用する前に、環境に基づいてこの潜在的な影響を評価し、可能な限りテストを行ってください。

注意

すべての検出結果を是正することが現実的でない場合もあります。たとえば、昇格権限が必要なサードパーティアプリケーションや、弱い認証方式しかサポートしていないアプリケーションなど、お客様の管理外の問題がある場合です。しかし、これらも組織にとって潜在的なリスクとなるため、認識し、継続的に監視する必要があります。

検出結果を評価した後、以下のいずれかの対応が可能です。

  • IDシステム内で問題を是正して検出結果を解決します。これにより、次回(24時間ごと)の計算時に全体のリスクスコアから除外されます。
  • 検出結果を却下すると、該当オブジェクト(例:application_abcが弱い認証を持つ)に対する今後の同様の検出結果が抑止され、全体のリスクスコアから除外されます。検出結果はテーブル上には残りますが、ダッシュボードには表示されません。
  • 対応できない検出結果を追跡するためにオープンのままにしておくと、全体のリスクスコアに引き続き反映されます。

検出結果とケース🔗

重大および高リスクの検出結果は、新たな検出結果が特定された際に情報提供タイプのケースを生成し、リスクの高い検出結果の管理と追跡を簡素化します。これには、プラットフォーム内で設定されたチケットシステムへのケース作成も含まれます。低リスクの課題に対するケースの数を制限するため、情報・低・中リスクの検出結果は検出結果ページで管理することを推奨します。

検出結果ケースのグループ化🔗

検出結果ケースは、検出結果の種類ごとにグループ化されます。たとえば、Entra管理者ロールが広範に付与されているアプリケーションの検出結果は、是正対応が各アプリケーションで同じであるため、同じケースにまとめられます。

注意

ID検出結果のケースは、アクティブな脅威ではなく、体制チェックシステムによって生成された露出や設定ミスであるため、MDRチームによるトリアージは行われません。

検出結果の検知とイベント🔗

ID検出結果は、イベントおよび検知パイプラインに送信されるようになり、カスタムルールの作成、自動ケースの生成、詳細検索によるデータの検索が可能です。

ID検出結果イベント🔗

ID検出結果イベントの一覧を表示するには、クエリエディターで以下のクエリを実行してください。

Example

FROM identityfinding WHERE sensor_type='sophos_itdr_findings'

ID検出結果の検知🔗

ID検出結果の検知一覧を表示するには、クエリエディターで以下のクエリを実行してください。

Example

FROM detection WHERE sensor_types='sophos_itdr_findings'

自動ケース🔗

他のID検出結果に対してケースを作成したい場合は、XDRクエリ言語を使用して検知に一致する自動ケースルールを設定できます。詳細はクエリエディターをご参照ください。

from detection where sensor_types='sophos_itdr_findings' and title contains 'Service Principal'
from detection where sensor_types='sophos_itdr_findings' and severity >= 0.1 and severity <= 0.3

ID検出結果テーブル🔗

ID検出結果テーブルには、データの並べ替え、フィルタリング、配置を行うためのコントロールが含まれています。テーブル左側の折りたたみ式フィルターメニューを使用して、検出結果のリストを絞り込むことができます。

  • フィルターを選択すると、テーブルとURLが動的に更新され、選択内容が反映されます。URLを同僚と共有したり、特定の検出結果リストを表示するために保存したりできます。
  • 選択したフィルターはテーブル上部に表示されます。Xを選択すると単一のフィルターを削除でき、すべてクリアを選択するとすべてのフィルターが削除され、すべての検出結果が表示されます。

検出結果のフィルタリング🔗

ID検出結果テーブルは、以下のような複数のフィルターを組み合わせて絞り込むことができます。

  • リスク — 検出結果のリスクレベル
  • ステータス — 検出結果のステータス

    • オープン
    • 解決済み
    • 却下済み
  • 参照タイプ — 検出結果が関連するオブジェクトの種類

    • ユーザーオブジェクト
    • アプリケーション/サービスプリンシパルオブジェクト
    • グループオブジェクト
    • デバイスオブジェクト
    • テナント設定
  • カテゴリ — 検出結果のカテゴリ

  • 新規first_seen_dateが過去7日以内の検出結果
  • 検出結果 — 検出結果のタイトル
  • 初回検出 — 検出結果が初めて確認された日時
  • 最終検出 — 検出結果が最後に確認された日時
  • 最終更新 — 検出結果が最後に更新された日時

列メニュー🔗

列名の右側にあるメニューアイコンを選択すると、テーブルで利用可能な列のメニューが開きます。

以下のオプションから選択できます。

  • 列を固定 — 列をテーブルの左または右に固定します。
  • この列の自動サイズ調整 — 選択した列のみサイズを調整し、隠れている情報を表示します。
  • すべての列の自動サイズ調整 — すべての表示列のサイズを調整し、隠れている情報を表示します。
  • 列のリセット — すべての列をデフォルトのサイズと順序にリセットします。

表示する列を選択🔗

列メニューを開き、列アイコンを選択し、表示したい列にチェックを入れるか外すことで、テーブルに表示する列を選択できます。

テキストボックスを使用して、列名を素早くフィルターできます。

列の並べ替え🔗

ヘッダーをドラッグ&ドロップして列の順序を変更できます。

列で並べ替え🔗

利用可能な場合は、列ヘッダーを選択して並べ替えを変更できます。切り替えは3つの状態があります。

  • 初期状態 — デフォルトの並べ替え
  • 昇順 — 列の内容を昇順で並べ替え
  • 降順 — 列の内容を降順で並べ替え

一度に並べ替えを適用できるのは1つの列のみです。

検出結果のエクスポート🔗

テーブル上部のすべてエクスポートを選択すると、現在テーブルに含まれているすべての検出結果のCSVファイルをエクスポートできます。検出結果の一部のみをエクスポートする場合は、まずテーブル左側のフィルターを使用し、フィルター結果をエクスポートを選択してください。

検出結果のエクスポート

検出結果の詳細表示🔗

検出結果列のリンクを選択すると、関連オブジェクト、リスク、初回検出日時、最終検出日時、最終更新日時、推奨事項などの詳細を表示できます。

  • 検出結果の詳細 — リスクレベル、ステータス、コメント、タイムスタンプ、タグを含む検出結果の概要
  • 説明 — 検出結果の説明
  • 推奨事項 — 検出結果の緩和に関するSecureworksの推奨事項
  • 定義 — 関連するIDチェックおよび参照情報

検出結果の全詳細を表示するには、新しいタブアイコン をクリックして新しいタブで全画面表示してください。

検出結果詳細ドロワー

検出結果ステータスの更新🔗

ステータスドロップダウンメニューから希望するステータスを選択して、検出結果のステータスを更新できます。

  • オープン — 検出結果がまだ対応されていない、または環境内に存在しています。
  • 却下済み — 検出結果は想定されたものであり、対応の必要はありません。この問題に対する新たな検出結果は生成されません。
  • 解決済み — 検出結果が対応または緩和されています。

注意

検出結果は手動で、またはシステムによって自動的に解決される場合があります。システムによって解決された検出結果には、自動解決された旨のコメントが含まれます。検出結果が「解決済み」または「却下済み」とラベル付けされると、環境に対するリスクとは見なされなくなります。手動で解決した検出結果が再度検出された場合、システムによって再オープンされます。必要な緩和策やクローズ作業が完了していることを確認してください。

結果タブ🔗

結果タブには、実施されたチェックから得られた生のJSON形式の出力が含まれています。これを利用して、生成された検出結果の追加詳細を確認できます。

履歴タブ🔗

履歴タブでは、検出結果に対して過去に実施されたアクションを確認できます。差分表示機能により、正確な変更内容を確認できます。

検出結果履歴

重大および高リスク検出結果の通知🔗

通知設定で利用可能な重大および高リスクID検出結果の通知ルールにより、エスカレーションポリシーを割り当てて、重大または高リスクの検出結果が作成または再オープンされた際に、指定したユーザーに通知できます。

ヒント

重大および高リスクの検出結果がケースを生成するようになったため、既存のエスカレーションポリシーに含まれていない個人に通知したい場合に便利です。

検知のエンリッチメント🔗

検知には、IDRモジュールで収集されたユーザー情報が適用され、相関・エンリッチメントされます。

検知のIDエンリッチメント