コンテンツにスキップ

検出のエンリッチメント🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

エンティティ とは、Secureworks® Taegis™ が認識し分類できるデータ項目であり、IPアドレス、ファイルハッシュ、プログラムハッシュ、ドメインなどが含まれます。アナリストは、ネットワーク、クラウド、エンドポイントデータ内で観測されたこれらのエンティティを分析し、攻撃者が使用する可能性のある侵害の指標を特定します。

脅威インテリジェンスエンリッチメントデータの表示🔗

検出に対する脅威インテリジェンスエンリッチメントデータを表示する方法は2つあります。どちらの方法も、検出から既知のすべてのエンティティを収集し、Secureworks Counter Threat Unit™ (CTU)、VirusTotal、APIVoid から追加の脅威インテリジェンスエンリッチメントデータを提供します。

検出詳細での脅威インテリジェンスエンリッチメント🔗

検出詳細と直接の脅威インテリジェンス

検出詳細内のシールドアイコンをクリックすると、検出内のエンティティに関する脅威インテリジェンスのコンテキストが表示されるモーダルが開きます。モーダルから、SHA256ハッシュに対して利用可能な場合はSophos Intelixの静的および動的レポート、またはVirusTotalやAPI Voidの詳細ページに移動できます。

エンティティタブでの脅威インテリジェンスエンリッチメント🔗

エンティティタブと脅威インテリジェンス

検出詳細のエンティティタブに移動し、エンティティを選択すると、サイドパネルでエンリッチメントデータを表示できます。

ハッシュエンリッチメントプロセス🔗

検出に影響を受けたエンティティ内にファイルハッシュが含まれている場合、システムは自動的に以下のTIソースにクエリを送信します。

ハッシュエンリッチメントの視覚的インジケーター🔗

TIソースがファイルハッシュに対して判定を提供した場合、シールドアイコンが以下のいずれかの色で表示されます。

  • : ファイルハッシュはクリーン

    緑のシールド

  • : ファイルハッシュは不審なもの

    黄のシールド

  • : ファイルはPUA(望ましくない可能性のあるアプリケーション)または不正なもの

    赤のシールド

  • バッジなし: ハッシュに関するTI情報が利用できない

利用可能なエンリッチメントデータ🔗

利用可能な場合、エンティティに対して以下の脅威インテリジェンスエンリッチメントが表示されます。

VirusTotalおよびAPIVoidのエンリッチメントデータ🔗

エンティティ詳細の脅威インテリジェンスセクションで、VirusTotalおよびAPIVoidからの完全なエンリッチメントデータを表示できます。

VirusTotalおよびAPIVoidのエンリッチメントデータ

Secureworksは、VirusTotalおよびAPIVoidからのエンリッチメントデータを活用しています。メトリクスは、選択した脅威インジケーターを不正と判定したセキュリティベンダーの数を示します。不正と判定したベンダーは赤い警告アイコンで表示され、リストの最上位に表示されます。まだ不正と判定していないベンダーは緑のチェックマークで表示されます。

注意

現時点では、APIVoidのエンリッチメントデータはIPアドレスのみ利用可能です。今後、より多くの脅威インジケーターがエンリッチメントされる予定です。

VirusTotalのエンリッチメントデータは、IPアドレス、ドメイン、URL、ファイルハッシュに利用可能です。利用可能な場合、VirusTotalのURL検索へのリンクが提供されます。このリンクを選択すると、新しいタブで検索が開き、エンティティが自動的にクリップボードにコピーされます。

  • 最新の更新時刻は下部に表示されます。結果を更新するには、リフレッシュアイコンを選択してください。
  • 矢印を選択して、ベンダーリストを折りたたんだり展開したりできます。

Intelix🔗

Sophos IntelixによるファイルSHA256ハッシュの判定は、シールドアイコンとして検出詳細に表示されます。

Sophos Intelixのエンリッチメントデータ

Intelixは、不審または不正なファイルの起源、動作、および潜在的な影響を特定しようとします。

Intelixは2つの異なる分析手法を適用します。

  • 静的分析は、機械学習、ファイルスキャン、レピュテーションを使用して不審なファイルを評価します。
  • 動的分析は、不審なファイルをサンドボックス環境で実行し、その挙動を観察します。

各分析はファイルのリスクレベルについて判定を行います。Intelixはこれらを組み合わせて総合的な判定を提供します。検出詳細のシールドアイコンをクリックすると、すべての利用可能な判定を表示できます。モーダルからレポートを表示を選択すると、完全なレポートに移動します。