コンテンツにスキップ

自動ケース🔗

注意

Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

Secureworks® Taegis™ XDRの自動ケースは、新たに作成された検出を監視し、条件を満たす検出から新しいケースを作成したり、指定されたアトリビュートに一致する既存のケースに新たに作成された検出を追加したりするように設定できます。

重要

自動ケースルールを呼び出すのは新たに作成された検出のみです。重大度の変更などの検出の更新は、現時点では自動ケースルールをトリガーしません。

自動ケース

ルールはパートナーレベルで定義してすべての子テナントに適用することも、個々のテナントごとに定義することもできます。ルールは、受信する検出ストリームに対するクエリ言語の検出クエリと、検出のエンティティやタイトルなどのアトリビュートによって検出をケースにグループ化するGroup By定義のセットを指定します。

自動ケーステンプレートの操作🔗

自動ケーステンプレートの作成🔗

  1. Taegis Menuからケース → 自動ケースを選択します。自動ケースページが表示されます。

  2. テンプレートタブを選択します。

    自動ケーステンプレート

  3. 新規テンプレートを選択します。新規ケーステンプレートの作成ダイアログが表示されます。

    新規テンプレートの作成

  4. テンプレートタイトルを入力します。

  5. このテンプレートから作成されるケースに割り当てるケースタイトルを入力します。

  6. このテンプレートから作成されるケースの優先度レベルを選択します。

    ケースの優先度

  7. ケース種別を選択します。

  8. (任意)テンプレートの説明を入力します。これは、テンプレートを利用するお客様や他のユーザーがテンプレートの用途を把握するためのものです。
  9. 送信を選択してダイアログを閉じ、テンプレートを保存します。テンプレートタブに一覧表示されます。
  10. 次のセクションの手順に従い、テンプレートを編集して値の追加、タイトルや主な発見事項スクリプトの編集、タグの追加を行います。

自動ケーステンプレートの編集🔗

  1. Taegis Menuからケース → 自動ケースを選択します。

  2. 自動ケースページが表示されます。テンプレートタブを選択して、現在利用可能なテンプレートを表示します。

    自動ケーステンプレート

  3. 編集したいテンプレートをカードまたはリストから選択します。テンプレートエディターが表示されます。

    テンプレートエディター

  4. 必要な編集を行い、保存を選択します。

重要

  • 自動ケースの担当者をSecureworksに設定することはできません。テナントまたは登録済みテナントユーザーのみ設定可能です。お客様作成の自動ケースルールで作成されたケースについて支援が必要な場合は、チャットまたはケースコメント@secureworksを利用してヘルプを依頼してください。
  • ステータスがアクション待ちに設定されたケースがオープンされた場合のみ、メール通知が送信されます。

ヒント

テンプレート作成ダイアログでは利用できない値(タグやスクリプトの追加など)もテンプレートで編集できます。

自動ケースルールビルダーの操作🔗

自動ケースルールの作成🔗

  1. Taegis Menuからケース → 自動ケースを選択します。
  2. 自動ケースページが表示されます。右上の新規ルールを選択します。

  3. ルールビルダーパネルが表示されます。

    自動ケースルールビルダー詳細

ルール詳細の定義🔗

  1. ルールの目的を説明するルールタイトルを入力します。

  2. ルールの状態を選択します。以下から選択可能です:

    • 有効 — 新規ケースを作成または既存ケースに検出を追加
    • 追加 — 既存ケースにのみ検出を追加し、新規ケースは作成しない
    • テスト — 検証目的のみでログを生成します
    • 無効 — ルールは何も実行しません

  3. ケーステンプレートプルダウンメニューからテンプレートを選択します。

  4. (任意)説明を入力します。

  5. ルール評価順序を設定します。 詳細はルール順序を参照してください。

  6. ルールにタグを追加し、続行を選択します。

ルール条件の設定🔗

  1. このルールを適用したい検出をフィルタリングするXDRクエリ言語文を追加します。XDRのクエリ言語についてはクエリエディターを参照してください。

  2. このルールで作成されたケースに検出を追加できるようにしたい場合は、追加したい検出を見つけるためのXDRクエリ言語文を追加します。詳細はクエリエディターを参照してください。

  3. (任意)検出の優先度を無視を選択すると、検出の脅威スコアを無視して、システムが自動的に検出の優先度を下げている場合でもルールを実行します。このオプションはデフォルトでオフです。

検出のグループ化の設定🔗

  1. Common Expression Language (CEL)を使用して、検出を既存ケースに追加するかどうか、またどのケースに追加するかを定義します。詳細はGroup Byを参照してください。

注意

このフィールドは自動ケースルール作成時に必須です。少なくとも1つの検出アトリビュートを指定する必要があります。

自動ケースルールの編集🔗

ルールを編集するには、対象ルールのアクション列にあるルール編集鉛筆アイコンを選択します。詳細ルール条件、または検出グループ化条件を編集し、送信を選択して保存します。

自動ケースルールアクション

自動ケースルールのエクスポートとインポート🔗

  • ルールをエクスポートするには、対象ルールのアクション列にあるルールエクスポートアイコンを選択します。ルール構成がYAML形式でエクスポートされます。

  • YAML形式のルール構成をインポートするには、テーブル上部の+ インポートを選択し、ファイルを選択します。

自動ケースルールの削除🔗

設定済みルールを削除するには、対象ルールのアクション列にあるルール削除アイコンを選択し、削除を選択して操作を確定します。

ルール評価🔗

ルール評価時には以下が考慮されます:

  • 中以上の重大度の検出のみが自動ケースルールをトリガーします。低および情報レベルの検出はルールのトリガー対象外です。
  • 新たに作成された検出は、まず子テナントレベルで定義されたルールセットに対して評価され、その後MSSPパートナーレベルで定義された順序で評価されます。
  • ルール評価は最初に一致した時点で停止します。ルールに一致するには、検出がルールクエリに一致し、かつ指定されたグループ化アトリビュートを含んでいる必要があります。
  • ルールが一致した場合、Group By句で返されたすべての値を使用して、指定されたグループ数以上の一致するアトリビュートを持つ既存ケースを検索します。
  • 一致が見つかった場合、検出はケースに追加され、ルールで指定されていればコメントが生成されケースに追加されます。
  • 一致が見つからなかった場合、ルールの状態に応じて新規ケースが作成されます。新規ケース作成時には、ルールクエリに一致し、Group Byアトリビュートが一致する最近の検出を検索し、新規ケースに追加します。
  • ケースが手動で作成された場合、システムは新たに作成されたケースに関連付けられた起点検出を評価し、定義済みルールと照合します。
  • ルールが一致し、ケースがそのルールを定義したテナントのメンバーによって作成された場合、上記と同様の検出検索が実行され、追加で一致した検出が自動的にケースに追加されます。

ルールの監視とテスト🔗

ルールはテスト状態に設定することができ、この状態ではルールが評価されますが、実際にケースへ追加されることはありません。アクションが実際に実行されたかのようにメトリクスが収集され、ログが生成されます。ルールの詳細を定義するを参照してください。

ルール処理🔗

重要

子テナントレベルで定義されたルールは、MSSPパートナールールより先に実行されます。Taegis MDRのお客様やSecureworks MSSPパートナーからサービス提供を受けている場合はご注意ください。

ルール順序🔗

ルールはルールの順序値で定義された順に処理されます。値が小さいものから先に処理されます。最初に一致した時点でルール処理は停止します。テナントルールがパートナールールより先に処理されます。

Group By🔗

ルールのGroup By値は、Common Expression Language (CEL)を使用して、検出を既存ケースに追加するかどうかを決定します。ルールが一致すると、group_by条件が評価されます。group_by式で返された結果のいずれかに一致する既存のオープンケースが見つかった場合、検出は新規作成ではなく既存ケースに追加されます。

各式は単一の結果またはリストを返すことができます。複数の式が定義されている場合、すべての結果セットは1つのフラットなORリストに結合されます。

例えば、以下は検出に関連付けられたエンティティとして識別されたユーザー名のリストを返します。既存のオープンケースに結果のいずれかのユーザー名を持つ検出が含まれていれば、その検出は既存ケースに追加されます。

${alertUsernames(alert)}

検出内のすべてのユーザー名が一致することを強制するには、ユーザー名のリストを単一の文字列値に変換する必要があります。これはjoinマクロを使用して実現できます:

${join(alertUsernames(alert))}

より複雑な例として、以下は検出に関連付けられたエンティティとして識別されたIPのリストを返しますが、指定されたアドレス(127.0.0.1または0.0.0.0)には一致しません。既存のオープンケースに結果のいずれかのIPを持つ検出が含まれていれば、その検出は既存ケースに追加されます。

${alertIPs(alert).filter(e, !(e in ['127.0.0.1', '0.0.0.0']))}

次の例は、複数の検出アトリビュートを1つの値に結合してgroup_by句として定義しています。これらすべてのアトリビュートが既存のオープンケースと一致しなければ、検出は追加されません:

${join(alertHostnames(alert).filter(e, e != 'localhost')+alertSensorIds(alert))}

デフォルトでは、group_by値が一致すればどのルールでも任意のオープンケースに追加できます。特定のルールで作成されたケースにのみ追加したい場合は、group_by値にルール名を追加してください:

${alertHostnames(alert).map(h, h + 'The Name of This Rule')}

注意

Group Byの一致はルール固有ではありません。つまり、Group By値が一致すればどのルールでも任意のケースに追加できます。

Group Byリストの各行は個別の一致をもたらす可能性があります。一致はOR条件で評価されます。AND条件で一致させたい場合は、単一行で定義する必要があります。場合によってはGroup Byのカウントを利用してAND条件を実現できる場合もあります。

検出の追加🔗

ケース作成時や検出がケースに追加された際、ルールはそのケースに関連付けられた検出に対して評価されます。ルールがケースに関連付けられた検出に一致した場合、ルールのappendフィルターで定義された追加検出がケースに追加される場合があります。

注意事項🔗

  • ケースに関連付けられた最初の100件の検出のみ評価されます。
  • ルールにappendフィルターがない場合、ルールフィルターが関連検出の検索に使用されます。
  • 以下の条件は常にクエリに追加され、上書きできません。ケースに追加されるには、検出がこれらの条件を満たす必要があります:
    • 検出の重大度が0.6以上
    • 検出のステータスがOPEN(すでに他のケースに関連付けられていないこと)
    • 検出作成時刻から±4時間以内の最も早い/遅いタイムスタンプ
  • 最大100件の検出が自動的に追加されます。
  • 自動的に追加された検出は、今後の検出評価(Group By一致)にも利用されます。

検出処理🔗

中以上の重大度の検出は、作成または公開されるごとに順次処理されます。各検出についてルールが評価され、最初に一致したルールでケースが作成または追加されます。ルールのfilterが検出の一致に使用されますが、検出はappend_filterにも評価され、両方の条件とgroup_byが一致すればケースに追加されます。

追加状態またはappend_filterが定義されたルールは、filterまたはappend_filtergroup_byの両方が一致するまで順に評価されます。検出がfilterに一致してもgroup_byが一致しない場合は、次のルールに評価が進みます。

ルールログ🔗

ルールログタブでは、自動ケースルールやテンプレートへの変更、また自動ケースによる検出へのアクションのログを確認できます。フィルタ可能なテーブルがあり、初期状態では空です。

フィルターを利用し、ルールIDケースID検出ID、またはテンプレートIDのいずれかの識別子を入力してアクションのログを表示します。

自動ケースルールログ

Summary Message列からログを選択すると、アクションの詳細や関連メタデータのJSONビューを確認できます。

自動ケースルールログ詳細

ヒント

個別インスタンスにアクセスする際のURLからルールケース検出テンプレートの識別子を確認できます。

<taegis_xdr_url>/cases/<case_id>/summary