ID検出結果

ID検出結果

ID検出結果では、すべての検出結果がリスク順に並んだテーブルが表示されます。検出結果は、お客様のIDインフラストラクチャに対して実行される体制チェックの出力です。各検出結果には、以下のいずれかのステータス、割り当てられたリスクレベル、およびカテゴリが付与されます。

検出結果のステータス

新しい検出結果のステータスはオープンに設定されており、検出結果の詳細からトリアージや問題の緩和に応じて調整できます。ステータスは以下の通りです。

• オープン — 検出結果がまだ対応されていない、または環境内に存在しています。
• 解決済み — 検出結果が対応または緩和されています。
• 却下済み — 検出結果が想定内であり、対応の必要がありません。

検出結果のリスクレベル

各検出結果には、基礎となるチェックおよび組織に与える潜在的なセキュリティリスクに基づいて、以下のいずれかのリスクレベルが割り当てられます。

• 重大 — 重大なリスクをもたらすため、直ちに対応が必要です。
• 高 — 直ちに対応が必要です。
• 中 — 対応が必要ですが、重大なリスクではありません。
• 低 — 軽微なリスクです。
• 情報 — リスクはほとんど、または全くありませんが、時間があるときに確認してください。

IDリスクレベル

検出結果のカテゴリ

検出結果は、実施されたチェックの種類に基づいて分類され、該当する場合はMITRE ATT&CKフレームワークに準拠しています。

MITRE ATT&CKマッピング:

• ユーザー行動
• 設定
• Entra条件付きアクセスのギャップ
• 休眠リソース
• ラテラルムーブメント
• 資格情報の侵害
• 永続化
• 権限昇格
• 防御回避
• 情報流出

検出結果のトリアージ

ID検出結果は、リスクレベルが最も高いものから優先的に対応することで、ID攻撃対象領域の縮小と体制スコアの向上に最も大きな効果があります。

重要

各検出結果およびその推奨事項は、お客様のビジネスニーズ、固有の環境、リスク許容度、および対応能力に基づいて評価する必要があります。これは、設定変更がユーザー、アプリケーション、アクセスに悪影響を及ぼす可能性があるため重要です。推奨事項を適用する前に、環境に基づいた影響を評価し、可能な限りテストを行ってください。

注意

すべての検出結果を修正することが現実的でない場合もあります。たとえば、特権が必要なサードパーティアプリケーションや、弱い認証方式しかサポートしないものなど、お客様の管理外の問題がある場合です。しかし、これらも組織にとって潜在的なリスクとなるため、認識し、継続的に監視する必要があります。

検出結果を評価した後、以下のいずれかの対応が可能です。

• IDシステム内で問題を修正して検出結果を解決します。これにより、次回（24時間ごと）の計算時に全体のリスクスコアから除外されます。
• 検出結果を却下すると、該当オブジェクト（例：application_abcが弱い認証を持つ）に対する今後の同様の検出結果が抑止され、全体のリスクスコアから除外されます。検出結果はテーブル上には残りますが、ダッシュボードには表示されません。
• 対応できない検出結果をオープンのままにして追跡し続けると、全体のリスクスコアに引き続き影響します。

ID検出結果テーブル

ID検出結果テーブルには、データの並べ替え、フィルタリング、配置を行うためのコントロールが含まれています。テーブル左側の折りたたみ式フィルターメニューを使用して、検出結果のリストを絞り込むことができます。

• フィルターを選択すると、テーブルとURLが動的に更新され、選択内容が反映されます。URLを同僚と共有したり、特定の検出結果リストを保存したりできます。
• 選択したフィルターはテーブル上部に表示されます。Xを選択すると単一のフィルターを削除でき、すべてクリアを選択するとすべてのフィルターが削除され、すべての検出結果が表示されます。

検出結果のフィルタリング

ID検出結果テーブルは、以下のようなフィルターを組み合わせて絞り込むことができます。

• リスク — 検出結果のリスクレベル

• ステータス — 検出結果のステータス

  • オープン
  • 解決済み
  • 却下済み

• 参照タイプ — 検出結果が関連するオブジェクトの種類

  • ユーザーオブジェクト
  • アプリケーション/サービスプリンシパルオブジェクト
  • グループオブジェクト
  • デバイスオブジェクト
  • テナント設定

• カテゴリ — 検出結果のカテゴリ

• 新規 — first_seen_dateが過去7日以内の検出結果
• 検出結果 — 検出結果のタイトル
• 初回検出日時 — 検出結果が初めて確認された日時
• 最終検出日時 — 検出結果が最後に確認された日時

列メニュー

列名の右側にあるメニューアイコンを選択すると、テーブルで利用可能な列のメニューが開きます。

以下のオプションから選択できます。

• 列の固定 — 列をテーブルの左または右に固定します。
• この列の自動サイズ調整 — 選択した列のみサイズを調整し、隠れている情報を表示します。
• すべての列の自動サイズ調整 — 表示されているすべての列のサイズを調整し、隠れている情報を表示します。
• 列のリセット — すべての列をデフォルトのサイズと順序にリセットします。

表示する列を選択

列メニューを開き、列アイコンを選択し、表示したい列にチェックを入れるか外すことで、テーブルに表示する列を選択できます。

テキストボックスを使用して、列名を素早くフィルターできます。

列の並べ替え

ヘッダーをドラッグ＆ドロップして列の順序を変更できます。

列で並べ替え

利用可能な場合は、列ヘッダーを選択して並べ替えを変更できます。切り替えは3つの状態があります。

• 初期状態 — デフォルトの並べ替え
• 昇順 — 列の内容を昇順で並べ替え
• 降順 — 列の内容を降順で並べ替え

一度に並べ替えを適用できるのは1つの列のみです。

検出結果のエクスポート

テーブル上部のすべてエクスポートを選択すると、現在テーブルに含まれているすべての検出結果のCSVファイルをエクスポートできます。特定の検出結果のみをエクスポートしたい場合は、まずテーブル左側のフィルターを使用し、フィルター結果をエクスポートを選択してください。

検出結果のエクスポート

検出結果の詳細表示

検出結果列のリンクを選択すると、関連オブジェクト、リスク、初回検出日時、最終検出日時、最終更新日時、推奨事項などの詳細を表示できます。

• 検出結果の詳細 — リスクレベル、ステータス、コメント、タイムスタンプ、タグを含む検出結果の概要
• 説明 — 検出結果の説明
• 推奨事項 — 検出結果の緩和に関するSecureworksの推奨事項
• 定義 — 関連するIDチェックおよび参照情報

検出結果の全詳細を表示するには、新しいタブアイコン をクリックして、全画面表示を新しいタブで開きます。

検出結果詳細ドロワー

検出結果ステータスの更新

ステータスドロップダウンメニューから、検出結果のステータスを選択して更新できます。

• オープン — 検出結果がまだ対応されていない、または環境内に存在しています。
• 却下済み — 検出結果が想定内であり、対応の必要がありません。この問題に関する新しい検出結果は生成されません。
• 解決済み — 検出結果が対応または緩和されています。

注意

検出結果は手動で解決することも、システムによって自動的に解決されることもあります。システムによって解決された場合は、自動解決された旨のコメントが追加されます。検出結果が「解決済み」または「却下済み」とラベル付けされると、環境に対するリスクとは見なされなくなります。手動で解決した検出結果が再度検出された場合、システムによって再オープンされます。必要な緩和策やクローズ作業が完了していることを確認してください。

結果タブ

結果タブには、実施されたチェックから得られた生のJSON形式の出力が含まれています。これを利用して、生成された検出結果の追加詳細を確認できます。

履歴タブ

履歴タブでは、検出結果に対して過去に実施されたアクションを確認できます。差分表示機能により、正確な変更内容を確認できます。

検出結果履歴

重大および高リスク検出結果の通知

通知設定で利用可能な重大および高リスクID検出結果の通知ルールにより、エスカレーションポリシーを割り当てることができ、重大または高リスクの検出結果が作成または再オープンされた際に、指定したユーザーに通知されます。

検出のエンリッチメント

該当するID情報を持つ検出は、IDRモジュールで収集されたユーザー情報と相関・エンリッチメントされます。

検出のIDエンリッチメント