コンテンツにスキップ

カスタム検出ルール🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

カスタム検出ルールは、Secureworks® Taegis™ XDRの正規化されたイベントから検出を作成するために使用できます。

ヒント

より高いレベルのサポートをご希望の場合、SecureworksプロフェッショナルサービスチームがTaegis XDRへの投資から最大限の価値を引き出すお手伝いをいたします。高度なスキルを持つコンサルタントが、迅速な展開、最適化、価値実現までの時間短縮をサポートします。詳細については、以下をご覧ください。 プロフェッショナルサービス概要

カスタム検出ルールマネージャー🔗

Taegis Menuから検出 → カスタマイズルールを選択します。カスタムルールのテーブルには、現在のすべてのカスタムルールが表示されます。

カスタムルールマネージャー

カスタムルールの作成🔗

カスタムルールの作成

ヒント

まず詳細検索を使用して、ルール条件フィールドで対象とするイベントに合致するルール構文を作成してください。

カスタムルールは詳細検索とは異なる正規表現エンジンを使用しています。カスタムルールでは、後方参照や条件付きパターンなど、一部のパターンはサポートされていません。

  1. カスタムルールテーブルの右上隅からルールの作成ボタンを選択します。カスタムルールの作成パネルが表示されます。

  2. ルール条件フィールドに詳細検索クエリを入力します。

    • 高速な正規表現エンジンの制限内で正規表現がサポートされています。詳細はFAQ「カスタムルールの正規表現の制限事項」をご参照ください。

    • IPv4 CIDR表記は、=およびmatches演算子を持つIPフィールドでサポートされています。

    • グロブパターンはサポートされていません。

    • カスタムルールはストリーミングデータに対してクエリを実行し、プリミティブフィールドには自動的にデフォルト値が設定されません。これは、Taegisデータレイクに保存され詳細検索でクエリされるデータとは異なります。カスタムルールでは、NULL演算子を使用してこれらのプリミティブフィールドが設定されているかどうかを確認できます。

    注意

    正規表現内で次の文字は特別な意味を持ちます: . ^ $ * + - ? ( ) [ ] { } \ | /。IPアドレスやドメイン名、その他の場合には、これらの文字をバックスラッシュでエスケープしてください: 1\.1\.1\.1
    複数の文字を含む長いシーケンスをエスケープする場合は、文字列全体を \Q\E で囲むことで、その文字列が正規表現の特殊文字として評価されなくなります。例えば、次の文字列全体をエスケープする場合:
    \Q${jndi:ldap://log4shell-smb-21yg3cbuy21gbcy21gc321uc${lower:ten}.w.nessus.org/nessus}\E
    これは次のようにエスケープした場合と同等です:
    \$\{jndi:ldap:\/\/log4shell\-smb\-21yg3cbuy21gbcy21gc321uc\$\{lower:ten\}\.w\.nessus\.org\/nessus\}

  3. ルールに名前Mitre Attackカテゴリ説明を追加します。これらは生成される検出で使用されます。

  4. 生成される検出の重大度を選択します。
  5. ルールの作成を選択します。

カスタム検出の表示方法🔗

カスタムルールによって生成された検出は、XDR検出トリアージダッシュボードの検知機別検出ウィジェット内、検知機名カスタム検出の下に表示されます。

カスタム検出

ヒント

一致する検出が表示されない場合は、検出トリアージダッシュボードの上部で正しい重大度レベルが選択されていることを確認してください。

検出トリアージダッシュボードからカスタム検出を削除する🔗

検出トリアージダッシュボードの上部にあるオプションを含めるを選択し、カスタム検出オプションを切り替えることで、検出トリアージダッシュボードの表示からカスタム検出を削除できます。

カスタム検出の切り替え

カスタムルールの詳細と履歴の表示🔗

カスタムルールテーブルからルール名を選択すると、その詳細と履歴を表示できます。

カスタムルールの詳細表示

カスタムルールの詳細タブには、ルールの概要情報と、ルールが一致する条件が表示されます。ルールが過去7日間に一致して検出を作成した場合、以下が表示されます。

  • 過去7日間のヒット数
  • 最終ヒット日
  • ヒット数を可視化した折れ線グラフ

過去7日間にアクティビティがない場合、このセクションは表示されません。

ルールの変更履歴表示

カスタムルールの履歴タブには、ルールの編集履歴(変更ログ)が表示されます。左側のリストから監査ログを選択すると、右側のペインで差分を確認できます。

カスタムルールのアーカイブとリストア🔗

カスタムルールのアーカイブとリストア

カスタムルールを表示している際に、アーカイブを選択し、アクションを確認することでルールをアーカイブできます。これにより検出が無効化され、アーカイブ済みとしてマークされ、カスタムルールテーブルのデフォルト表示から削除されます。

アーカイブ済みルールを表示するには、カスタムルールテーブルの上部にあるアーカイブ済みルールを表示トグルを選択します。

アーカイブ済みカスタムルールを表示している際に、リストアを選択し、アクションを確認することでルールをリストアできます。これによりルールは無効状態で復元され、カスタムルールテーブルのデフォルト表示に戻ります。トグルを選択してルールを有効化してください。

FAQ🔗

カスタムルールはTaegis MDRでどのようにサポートされていますか?

カスタムルール機能を使用して、XDR内でカスタムルールを作成できます。これにより、お客様が設定した特定の条件が検出された際にアラートを受け取ることができます。この機能は、お客様のセキュリティチームが自社環境に特化したルールを作成し、内部機能をさらにカスタマイズできる柔軟性を提供します。これらはお客様ごとに大きく異なるため、弊社アナリストはお客様のカスタムルールを監視できません。そのため、カスタムルールを実装する場合は、対応する検出を管理するための社内リソースとプロセスが必要です。

検出ルールでドメインやIPアドレスなどの論理データ型は使用できますか?

はい、論理データ型を使用して、スキーマ内の複数のフィールドで表現されるデータ型に対して一致させることができます。ただし、ルールは単一のスキーマ型にのみ一致できますが、論理データ型は個々のスキーマ内で利用可能なフィールドに展開されます。

例:ルール条件: from auth where @user='gcostanza' and win_event_id='4624'

論理型

ルールの変更を監査するには?

ルールマネージャーでのアクションは、テナント設定 → 監査ログで確認できます。監査ログのカテゴリは_ルール_となります。

また、ルール自体から編集履歴(変更ログ)を確認できます。カスタムルールの詳細と履歴の表示をご参照ください。

誰がルールを作成できますか?

現時点では、すべてのロールで検出ルールを作成できます。今後、ロールベースアクセス制御(RBAC)の導入により変更される予定です。

カスタム検出用にすべてのスキーマフィールドが利用可能ですか?

ほとんどのイベントフィールドが利用可能ですが、検知エンジンで処理された後にイベントに追加される以下のフィールドは利用できません。

スキーマauthnetflowdns_queryでは、以下のオブジェクトおよびフィールドはカスタム検出ルールで一致させることができません。

  • dest_ipgeo_summary
  • src_ipgeo_summary
  • src_ipblacklist_hits
  • dest_ipblacklist_hits

すべてのスキーマで、以下のフィールドはカスタム検出ルールで一致させることができません。 - hostname

スキーマdns_queryでは、以下のオブジェクトはカスタム検出ルールで一致させることができません。

  • whois
カスタムルールで作成できる検出数に制限はありますか?

はい。1時間あたり5,000件、または24時間あたり100,000件を超える検出を生成したカスタムルールは、サーキットブレーカーによって無効化されます。検出数を減らすようにルールを更新するか、カスタムレポートに切り替えてください。

注意

サーキットブレーカーによりルールが無効化された場合、ルール作成者にメールで通知されます。

カスタムルールの正規表現の制限事項は?

カスタムルールでは、以下の正規表現構文はサポートされていません。

  • 後方参照およびキャプチャサブ式
  • 任意のゼロ幅アサーション
  • サブルーチン参照および再帰パターン
  • 条件付きパターン
  • バックトラッキング制御動詞
  • \C “シングルバイト”ディレクティブ(UTF-8シーケンスを破壊します)
  • \R 改行マッチ
  • \K マッチ開始リセットディレクティブ
  • コールアウトおよび埋め込みコード
  • アトミックグルーピングおよびポジッシブ量指定子

評価モード設定🔗

評価モードは、現在テストおよび改良中の高度な脅威検出ルールを有効化します。この設定を有効にしてもデータ取り込みには一切影響しませんが、追加の高度な検出が作成されるようになります。この設定を有効にする前に、以下の重要な点にご注意ください。

重要

  • サポートから指示があった場合のみ、この設定を有効にしてください。
  • この設定を有効にすると、生成されるセキュリティ検出の数が大幅に増加します。
  • 評価モードのルールは、改良中のため誤検知が発生する場合があります。

評価モードの有効化🔗

テナント管理者は、以下の手順で評価モードを有効にできます。

  1. Taegis Menuから検出を選択し、ルールを選択します。
  2. ルールページの右上隅から設定を選択します。
  3. テキストフィールドに「ENABLE」とすべて大文字で入力し、この設定を有効にすることを確認します。
  4. 変更を保存を選択します。

評価モードの有効化

評価モードの無効化🔗

テナント管理者は、以下の手順で評価モードを無効にできます。

  1. Taegis Menuから検出を選択し、ルールを選択します。
  2. ルールページの右上隅から設定を選択します。
  3. 評価モード無効化トグルを選択します。

評価モードの無効化