コンテンツにスキップ

データソースの監視🔗

データソーステーブルは、Secureworks® Taegis™ XDR にテレメトリーを送信しているデータソースの概要と、そのログの正常性インジケーターを提供します。

注意

テーブルには以下のソースが表示されます:

データソースページにアクセスするには:

  1. Taegis Menu から インテグレーション を選択します。
  2. データソース を選択します。

テーブルには、XDR が認識している各データソースが、センサータイプや正常性ステータスとともに一覧表示されます。

データソースの管理

可視化を分かりやすくするため、複数のセンサータイプを持つデータソースは、データソーステーブル内でソースIDごとに1行にまとめてグループ化されます。ソースIDに複数のセンサータイプが紐づいている場合、センサータイプ 列に一覧表示されます。

センサータイプ列

どのセンサータイプが含まれているかの詳細を確認するには、ソースIDリンクを選択して詳細ページを表示します。

データソースのフィルタリング🔗

データソーステーブルをフィルタリングするには、折りたたみ式のフィルターメニューを使用して、ソースID、最終ログ受信時刻、センサータイプなどのフィールドで一致するデータソースのリストを絞り込みます。

データソースのフィルタリング

データソースをCSVでエクスポート🔗

データソーステーブル全体または選択した行を、選択したフィルターに基づいてCSVファイルとしてエクスポートできます。

データソースの全データをCSVでエクスポートするには:

  1. 必要に応じてデータソーステーブルをフィルタリングします。
  2. データソーステーブルの右上隅で すべてをCSVでエクスポート を選択します。
  3. データエクスポートに進むと、完成したCSVファイルがダウンロード可能になります。

ヒント

すべてのデータソースを含むファイルをエクスポートするには、テーブルからすべてのフィルターを削除してください。

すべてのデータソースをエクスポート

選択したデータソースをエクスポートするには:

  1. 必要に応じてデータソーステーブルをフィルタリングします。
  2. ダウンロードしたいデータソースのチェックボックスを選択します。
  3. データソーステーブルの右上隅で 選択したものをCSVでエクスポート を選択します。
  4. データエクスポートに進むと、完成したCSVファイルがダウンロード可能になります。

選択したデータソースをエクスポート

データソースの正常性の確認🔗

概要テーブルでは、ステータス 列を通じてデータソースのログの正常性インジケーターも提供します。ステータスラベルは、デバイスから最後にログメッセージが受信されてからの経過時間に基づいて割り当てられます。24時間以上データ送信が停止しているデバイスは データなし と表示され、データソース通知メール設定に登録しているすべてのユーザーにメールサマリー通知が送信されます。

データソースの正常性通知は必ず調査してください。

データソースの正常性は以下のいずれかです:

  • 正常 — デバイスからの最新のログメッセージが1時間未満前に受信されました。
  • 警告 — デバイスからの最新のログメッセージが1時間以上24時間未満前に受信されました。
  • データなし — デバイスからの最新のログメッセージが24時間以上前に受信されました。

注意

データなし ステータスが30日間連続した場合、そのデータソースはテーブルに表示されなくなり、メール通知も停止します。

データソースが正常な状態でない場合は、デバイスがオンラインであり、Taegis™ XDR Collector に到達できることを確認し、該当デバイスタイプのインテグレーションガイドを参照して、XDR Collector へのログ送信設定が正しいか確認してください。

データソースの削除🔗

1つまたは複数のデータソースを削除すると、テーブルからデバイスレコードが削除され、プロファイル設定で有効にしているデバイスの正常性ステータスメール通知も停止します。この操作は元に戻せません。

重要

削除アクションはデバイスレコードのみを削除し、データソースから受信したテレメトリーには影響しません。削除したデータソースが引き続きXDRにテレメトリーを送信した場合、データソーステーブルに再表示されます。削除したデータソースが完全にテーブルから消えるまで最大5分かかる場合があります。

単一のデータソースを削除🔗

  1. データソーステーブルから、削除したいデータソースのアクション列にある 削除 アイコンを選択します。確認モーダルが表示されます。

    単一のデータソースを削除

  2. 完了 を選択して削除アクションを確定します。データソースが削除され、テーブルから消えます。

複数のデータソースを削除🔗

  1. データソーステーブルから、削除したいデータソースの左側のチェックボックスを選択します。選択したソースの数がテーブル上部に表示されます。
  2. テーブル上部の選択数の横にある 削除 アイコンを選択します。確認モーダルが表示されます。

  3. 完了 を選択して削除アクションを確定します。データソースが削除され、テーブルから消えます。

    複数のデータソースを削除

データソースの詳細表示🔗

データソースの詳細ページには、データソースの現在のステータスやその他の基本情報のサマリーが含まれます。また、過去24時間のスキーマごとのメッセージボリュームのチャートや、データソースが生成したサンプルメッセージのリストも表示されます。

データソースの詳細を表示するには:

  1. データソーステーブルから、詳細を確認したいデータソースの ソースID を選択します。

  2. データソースドロワーが表示されます。新しいタブアイコンをクリックすると、詳細ページを新しいタブで表示できます。

    データソースの詳細

データソースからのピボットサーチ🔗

データソースからピボットサーチを実行する方法は2つあります:

  • データソース詳細ページで、詳細検索 を選択すると、そのセンサーIDの過去24時間分の検索を実行します。

    sensor_id = 'firewall1234' EARLIEST =-24h

  • サンプルメッセージの下で、虫眼鏡 アイコンを選択すると、そのスキーマおよびセンサーIDの過去24時間分の検索を実行します。

    FROM nids WHERE sensor_id = 'firewall1234' EARLIEST =-24h