自動ケース🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近検出および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

Secureworks® Taegis™ XDR の自動ケースは、新たに作成された検出を監視し、条件を満たす検出から新しいケースを作成したり、指定されたアトリビュートに一致する既存のケースに新たに作成された検出を追加したりするように設定できます。

重要

自動ケースルールは、新たに作成された検出のみをトリガーします。重大度の変更などの検出の更新は、現時点では自動ケースルールをトリガーしません。

ルールはパートナーレベルで定義してすべての子テナントに適用することも、個々のテナントごとに定義することもできます。ルールは、受信する検出ストリームに対するクエリ言語の検出クエリと、検出をケースごとにグループ化するGroup By定義（例：エンティティやタイトルなどのアトリビュート）を設定します。

自動ケーステンプレートの操作🔗

自動ケーステンプレートの作成🔗

Taegis Menu から ケース → 自動ケース を選択します。自動ケースページが表示されます。
テンプレート タブを選択します。

自動ケーステンプレート
新規テンプレート を選択します。新規ケーステンプレートの作成 ダイアログが表示されます。

新規テンプレートの作成
テンプレートタイトルを入力します。
このテンプレートから作成されるケースに割り当てるケースタイトルを入力します。
このテンプレートから作成されるケースの優先度レベルを選択します。

ケースの優先度
ケース種別を選択します。
（任意）テンプレートの説明を入力します。これは、テンプレートの用途をお客様や他の利用者が把握するためのものです。
送信を選択してダイアログを閉じ、テンプレートを保存します。テンプレートタブにリストされます。
次のセクションの手順に従い、テンプレートの編集で値の追加、タイトルや主な発見事項スクリプトの編集、タグの追加を行います。

自動ケーステンプレートの編集🔗

Taegis Menu から ケース → 自動ケース を選択します。
自動ケースページが表示されます。テンプレート タブを選択して、現在利用可能なテンプレートを表示します。

自動ケーステンプレート
編集したいテンプレートをカードまたはリストから選択します。テンプレートエディタが表示されます。

テンプレートエディタ
必要な編集を行い、保存を選択します。

重要

自動ケースの担当者をSecureworksに設定することはできません。テナントまたは登録済みテナントユーザーのみ設定可能です。お客様作成の自動ケースルールで作成されたケースについて支援が必要な場合は、チャットまたはケースコメントで @secureworks を利用して支援依頼してください。
ステータスがアクション待ちに設定されたケースがオープンされた場合のみ、メール通知が送信されます。

ヒント

テンプレート作成ダイアログでは利用できない値（タグやスクリプトの追加など）も、テンプレート編集で編集できます。

自動ケースルールビルダーの操作🔗

自動ケースルールの作成🔗

Taegis Menu から ケース → 自動ケース を選択します。
自動ケースページが表示されます。右上の 新規ルール を選択します。
ルールビルダーパネルが表示されます。

自動ケースルールビルダー詳細

ルール詳細の定義🔗

ルールの目的を説明するルールタイトルを入力します。
ルールの状態を選択します。以下から選択可能です：
- 有効 — 新規ケースを作成、または既存ケースに検出を追加
- 追加 — 既存ケースにのみ検出を追加し、新規ケースは作成しない
- テスト — 今後のリリースで検証用ログのみ生成予定（現時点では未対応）
- 無効 — ルールは何も実行しない
ケーステンプレート プルダウンメニューからテンプレートを選択します。
（任意）説明を入力します。
ルール評価順序を設定します。詳細はルール順序を参照してください。
ルールにタグを追加し、続行を選択します。

ルール条件の設定🔗

ルールを適用したい検出をフィルタリングする XDR クエリ言語文を追加します。XDR のクエリ言語については、詳細検索クエリ言語を参照してください。
このルールで作成されたケースに検出を追加できるようにしたい場合は、追加したい検出を見つけるための XDR クエリ言語文を追加します。詳細は詳細検索クエリ言語を参照してください。
（任意）検出の優先度を無視 を選択すると、検出の脅威スコアを無視して、システムが自動的に検出の優先度を下げている場合でもルールを実行します。このオプションはデフォルトでオフです。

検出のグループ化の設定🔗

Common Expression Language (CEL) を使用して、検出を既存ケースに追加するかどうか、どのケースに追加するかを定義します。詳細はGroup Byを参照してください。

注意

このフィールドは自動ケースルール作成時に必須です。少なくとも1つの検出アトリビュートを指定する必要があります。

自動ケースルールの編集🔗

ルールを編集するには、対象ルールのアクション列にある ルール編集 の鉛筆アイコンを選択します。詳細、ルール条件、または検出グループ化条件を編集し、送信を選択して保存します。

自動ケースルールのエクスポートとインポート🔗

ルールをエクスポートするには、対象ルールのアクション列にある ルールエクスポート アイコンを選択します。ルール設定がYAML形式でエクスポートされます。
YAML形式のルール設定をインポートするには、テーブル上部の + インポート を選択し、ファイルを選択します。

自動ケースルールの削除🔗

設定済みルールを削除するには、対象ルールのアクション列にある ルール削除 アイコンを選択し、削除を選択して操作を確定します。

ルール評価🔗

ルール評価時に考慮される点は以下の通りです：

中程度以上の重大度の検出のみが自動ケースルールをトリガーします。低および情報レベルの検出はルールのトリガー対象外です。
新たに作成された検出は、まず子テナントレベルで定義されたルールセットに対して評価され、その後MSSPパートナーレベルで定義された順序で評価されます。
ルール評価は最初に一致した時点で停止します。ルールに一致するには、検出がルールクエリに一致し、かつ指定されたグループ化アトリビュートを含んでいる必要があります。
ルールが一致した場合、Group By句で返されたすべての値を使用して、指定されたグループ数以上の一致するアトリビュートを持つ既存ケースを検索します。
一致が見つかった場合、検出はケースに追加され、ルールで指定されていればコメントが生成されケースに追加されます。
一致が見つからなかった場合、ルールの状態に応じて新規ケースが作成されます。新規ケース作成時には、ルールクエリに一致する最近の検出を検索し、Group Byアトリビュートが一致するものを新規ケースに追加します。
ケースが手動で作成された場合、システムは新たに作成されたケースに関連付けられた起点検出を評価し、定義済みルールと照合します。
ルールが一致し、かつケースがそのルールを定義したテナントのメンバーによって作成された場合、上記と同様の検出検索が実行され、追加で一致した検出が自動的にケースに追加されます。

ルールの監視とテスト🔗

ルールは テスト ステータスに設定でき、この場合ルールは評価されますが、実際にケースに追加はされません。メトリクスが収集され、アクションが実行されたかのようにログが生成されます。

ルール処理🔗

重要

子テナントレベルで定義されたルールがMSSPパートナールールより先に実行されます。Taegis MDR のお客様やSecureworks MSSPパートナーからサービス提供を受けている場合はご注意ください。

ルール順序🔗

ルールは、ルールの順序値で定義された順に処理されます。値が小さいものから先に処理されます。最初に一致した時点で処理は停止します。テナントルールがパートナールールより先に処理されます。

Group By🔗

ルールのGroup By値は、Common Expression Language (CEL) を使用して、検出を既存ケースに追加するかどうかを決定します。ルールが一致すると、group_by 条件が評価されます。group_by 式で返された結果のいずれかに一致するオープンケースが存在する場合、検出は新規作成ではなく既存ケースに追加されます。

各式は単一の結果またはリストを返すことができます。複数の式が定義されている場合、すべての結果が1つのフラットな OR リストに結合されます。

例えば、以下は検出に関連付けられたエンティティとして識別されたユーザー名のリストを返します。既存のオープンケースに、結果のいずれかのユーザー名を持つ検出が含まれていれば、その検出は既存ケースに追加されます。

${alertUsernames(alert)}

検出内のすべてのユーザー名が一致することを強制するには、ユーザー名のリストを単一の文字列値に変換する必要があります。これは join マクロを使って実現できます：

${join(alertUsernames(alert))}

より複雑な例として、以下は検出に関連付けられたエンティティとして識別されたIPのリストを返しますが、指定されたアドレス（127.0.0.1 または 0.0.0.0）には一致しません。既存のオープンケースに、結果のいずれかのIPを持つ検出が含まれていれば、その検出は既存ケースに追加されます。

${alertIPs(alert).filter(e, !(e in ['127.0.0.1', '0.0.0.0']))}

次の例は、複数の検出アトリビュートを1つの値に結合して group_by 句として定義しています。これらすべてのアトリビュートが既存のオープンケースと一致しなければ、検出は追加されません：

${join(alertHostnames(alert).filter(e, e != 'localhost')+alertSensorIds(alert))}

デフォルトでは、group_by 値が一致すれば、どのルールでも任意のオープンケースに追加できます。特定のルールだけが自身で作成したケースにのみ追加できるようにするには、group_by 値にルール名を追加します：

${alertHostnames(alert).map(h, h + 'The Name of This Rule')}

注意

Group By の一致はルール固有ではありません。つまり、Group By値が一致すれば、どのルールでも任意のケースに追加できます。

Group Byリストの各行は個別に一致する可能性があります。マッチは OR 条件で評価されます。AND 条件で一致させるには、単一行で定義する必要があります。場合によっては、Group Byのカウントを利用してAND条件を実現できる場合もあります。

検出の追加🔗

ルールは、ケース作成時や検出がケースに追加された際に、そのケースに関連付けられた検出に対して評価されます。ルールがケースに関連付けられた検出に一致した場合、ルールのappendフィルタで定義された追加検出がケースに追加されることがあります。

注意事項🔗

ケースに関連付けられた最初の100件の検出のみが評価されます。
ルールにappendフィルタがない場合、ルールフィルタが関連検出の検索に使用されます。
以下の条件は常にクエリに追加され、上書きできません。ケースに追加されるには、検出がこれらの条件を満たす必要があります：
- 検出の重大度が0.6以上
- 検出のステータスがOPEN（すでに他のケースに関連付けられていないこと）
- 検出作成時刻から±4時間以内の最小/最大タイムスタンプ
最大100件の検出が自動的に追加されます。
自動的に追加された検出は、今後の検出評価（Group By一致）にも利用されます。

検出処理🔗

中程度以上の重大度の検出は、作成または公開されるごとに順次処理されます。各検出について、ルールが評価され、最初に一致したルールでケースが作成または追加されます。ルールの filter で検出が一致するか判定されますが、検出は append_filter でも評価され、append_filter と group_by の両方が一致すればケースに追加されます。

追加状態または append_filter が定義されたルールは、filterまたは append_filter と group_by の両方が一致するまで順に評価されます。検出がfilterに一致しても group_by に一致しない場合は、次のルールが評価されます。

ルールログ🔗

ルールログタブでは、自動ケースルールやテンプレートへの変更、また自動ケースによる検出へのアクションのログを確認できます。最初は空のフィルタ可能なテーブルが表示されます。

フィルターを利用し、ルールID、ケースID、検出ID、テンプレートID のいずれかの識別子を入力して、アクションのログを表示します。

サマリーメッセージ 列からログを選択すると、アクションの詳細や関連メタデータのJSONビューを確認できます。

ヒント

個別インスタンスにアクセスする際のURLに、ルール、ケース、検出、テンプレート の識別子が含まれています。

<taegis_xdr_url>/cases/<case_id>/summary