コンテンツにスキップ

検出抑止ルール🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

検出抑止ルールを作成することで、検出が作成された際に_抑止済み_として解決され、検出トリアージダッシュボードにはデフォルトで表示されなくなりますが、検索では引き続き見つけることができます。

重要

抑止済みの検出は、Secureworksのアナリストによるトリアージ対象外となります。

ヒント

より高いレベルのサポートをご希望の場合、SecureworksプロフェッショナルサービスチームがTaegis XDRへの投資から最大限の価値を引き出すお手伝いをいたします。高度なスキルを持つコンサルタントが、迅速な展開、最適化、価値実現までの時間短縮をサポートします。詳細については、以下をご覧ください。 プロフェッショナルサービス概要

検出抑止ルールの表示🔗

  1. Taegis Menuから検出 > カスタマイズルールを選択します。カスタムルールテーブルが表示されます。
  2. 抑止ルールタブを選択すると、現在のすべての抑止ルールが表示されます。

抑止ルール

テナントルールはテナント固有であり、そのテナントの検出のみを抑止します。グローバルルールは、すべてのXDRテナントに適用されます。グローバルルールは、検出ルールや検知機が調整されるまで検出の洪水をトリアージするためによく作成されます。グローバルルールは読み取り専用です。グローバルルールについてご質問がある場合は、サポートまでご連絡ください。

抑止ルールの作成🔗

検出抑止ルールは、以下のいずれかの方法で作成できます。

クエリ言語による方法🔗

抑止ルールは、詳細検索クエリ言語を使用して検出の基礎となるイベントデータにマッチさせることができます。たとえば、process.commandlineprocessparent_image_path、その他のイベントスキーマなどのクエリ言語要素を利用できます。

注意

詳細はFAQをご覧ください。

まず詳細検索を使用して、対象とする検出にマッチするクエリを作成してから、抑止ルールを作成してください。

  1. 詳細検索クエリを作成し、今後抑止したい過去の検出がどれかを確認します。結果に満足したら、そのクエリをコピーしてルールビルダーに貼り付けます。
  2. 検出 > カスタマイズルールに移動し、抑止ルールタブを選択します。
  3. 抑止ルールテーブルの上にあるルールの作成をクリックします。

  4. 抑止ルールの作成で、対象とする検出にマッチする詳細検索クエリをルール条件フィールドに貼り付けます。

    ヒント

    右側のペインで現在のデータで一致する可能性を表示をクリックすると、クエリをテストして対象の検出にマッチするか確認できます。

  5. ルールの名前説明を入力します。

  6. このルールに一致した検出に付与する解決ステータスを選択します。

    クエリ言語による抑止ルールの作成

  7. ルールの作成をクリックします。

検出からの方法🔗

  1. 抑止したい検出の詳細を開きます
  2. 検出の詳細ページで、アクション > 抑止ルールの作成を選択します。

  3. 抑止ルールの作成フォームに検出からエンティティが自動入力されます。1つ以上のエンティティを選択してルールを作成するか、手動で条件を追加します。

    • 複数の条件はAND演算子で結合されます。
    • 条件にはPCRE正規表現を使用してマッチングを行います。
    • 抑止ルールはストリーミングデータに対してクエリを実行し、プリミティブフィールドにはデフォルト値が自動的に設定されません。これは、Taegisデータレイクに保存され詳細検索でクエリされるデータとは異なります。抑止ルールでは、これらのプリミティブフィールドが設定されているかどうかを確認するためにNULL演算子を使用できます。
    • 正規表現の特殊文字は、事前入力されたエンティティを使用した場合は自動的にエスケープされます。手動で条件を追加する場合は、これらの文字をエスケープする必要があります。詳細は以下の注意をご覧ください。

    注意

    正規表現内で次の文字は特別な意味を持ちます: . ^ $ * + - ? ( ) [ ] { } \ | /。IPアドレスやドメイン名、その他の場合には、これらの文字をバックスラッシュでエスケープしてください: 1\.1\.1\.1
    複数の文字を含む長いシーケンスをエスケープする場合は、文字列全体を \Q\E で囲むことで、その文字列が正規表現の特殊文字として評価されなくなります。例えば、次の文字列全体をエスケープする場合:
    \Q${jndi:ldap://log4shell-smb-21yg3cbuy21gbcy21gc321uc${lower:ten}.w.nessus.org/nessus}\E
    これは次のようにエスケープした場合と同等です:
    \$\{jndi:ldap:\/\/log4shell\-smb\-21yg3cbuy21gbcy21gc321uc\$\{lower:ten\}\.w\.nessus\.org\/nessus\}

  4. ルールの名前説明を入力します。

  5. このルールに一致した検出に付与する解決ステータスを選択します。

    特定の検出から抑止ルールを作成

  6. ルールの作成をクリックします。

抑止ルールの詳細と履歴の表示🔗

抑止ルールテーブルからルール名を選択すると、その詳細と履歴を表示できます。

抑止ルールの詳細🔗

抑止ルールの詳細タブには、ルールの概要情報とルールがマッチする条件が表示されます。この画面からルール名、条件、説明、解決ラベルを編集できます。

抑止ルールの詳細表示

ルールが過去7日間に検出にマッチして抑止した場合、以下が表示されます。

  • 過去7日間のヒット数
  • 最終ヒット日時
  • ヒット数の推移を示す折れ線グラフ

過去7日間にアクティビティがない場合、このセクションは表示されません。

抑止ルールの履歴🔗

抑止ルールの履歴タブには、ルールの編集履歴(変更ログ)が表示されます。左側のリストから監査ログを選択すると、右側のペインで差分を確認できます。

ルールの変更履歴表示

抑止ルールのアーカイブとリストア🔗

抑止ルールのアーカイブとリストア

抑止ルールを表示中にアーカイブを選択し、アクションを確認すると、そのルールが無効化され、アーカイブ済みとしてマークされ、抑止ルールテーブルのデフォルト表示から除外されます。

アーカイブ済みルールを表示するには、テーブル上部のアーカイブ済みルールを表示を選択します。

アーカイブ済み抑止ルールを表示中にリストアを選択し、アクションを確認すると、そのルールが無効状態で復元され、抑止ルールテーブルのデフォルト表示に戻ります。トグルを選択してルールを有効化してください。

抑止ルールの共有🔗

テナント内の他のユーザーと抑止ルールを共有するには、ルール詳細画面から共有リンクをコピーアイコンを選択し、直接URLを取得します。

ルール共有用リンクのコピー

よくある検出抑止ルール🔗

許可されたスキャナー🔗

許可されたスキャナーから発生する検出を抑止するには、ソースIPアドレスを使用します。

複数の許可スキャナーがある場合は、正規表現を使用してすべてのIPアドレスを1つの抑止ルールにまとめてください。

ゲストネットワーク範囲🔗

ゲストネットワーク範囲からの検出を抑止するには、ソースIPアドレスを使用し、正規表現でネットワーク全体にマッチさせます。

エンドポイント上の許可されたプロセス実行🔗

エンドポイントとプロセスの両方にマッチするパターンを組み合わせて使用します。

  • エンドポイントにマッチさせるには以下のいずれかを使用します:

    • センサーホストID
    • IPアドレス(ホストが静的IPアドレスを持ち、エンドポイントエージェントがインストールされていない場合)

  • プロセスにマッチさせるには以下のいずれかを使用します:

    • ファイル名
    • ファイル(MD5|SHA1|SHA256|SHA512)
    • プログラム名
    • プログラム(MD5|SHA1|SHA256|SHA512)
    • スクリプトSHA1(実行されたスクリプトのハッシュ)

FAQ🔗

検出が抑止されたかどうかはどのように確認できますか?

抑止済みの検出には、_抑止済み_のフィードバックラベルが付与されます。

抑止済み検出

抑止済みの検出を検索するには?

抑止済みの検出には_抑止済み_のフィードバックラベルが付与されています。以下のクエリで検索できます。

from detection where suppressed = true

検索結果から抑止済み検出を除外するには、labelName条件にNOTを追加してください。

from detection where suppressed = false

別の方法として、ルール自体からピボットサーチを実行することもできます。ルールを開き、このルールで抑止されたすべてのアラートを検索の隣にある新しいタブアイコンを選択します。これにより、そのルールで抑止された検出を検索する詳細検索が開きます。

抑止済みの検出をケースに追加できますか?

はい、抑止済みの検出も新規または既存のケースに追加できます。

抑止済み検出のフィードバックラベルを変更できますか?

はい、検出の詳細画面でフィードバックラベルを削除または変更できます。

ルールマネージャーのアクティビティを監査できますか?

はい、ルールマネージャーでのアクションはテナント設定 > 監査ログから確認できます。監査ログのカテゴリはルールとなります。

さらに、ルール自体から編集履歴(変更ログ)も確認できます。抑止ルールの詳細と履歴の表示をご覧ください。

検出が抑止された場合、どのルールで抑止されたかはどのように分かりますか?

検出の詳細画面で、抑止ルールフィールドのルール名をクリックすると、サイドパネルでそのルールを表示できます。

ルールでサポートされている正規表現の機能は?

検出抑止エンジンはHyperscanを利用して正規表現を適用しています。HyperscanはPCREライブラリlibpcreで使用されるパターン構文をサポートしています(http://www.pcre.org/参照)。ただし、libpcreで利用可能なすべての構文がサポートされているわけではありません。サポートされていない構文を使用するとコンパイルエラーとなります。

詳細はHyperscan Developer Reference Compilationをご覧ください。

ドメイン名やIPアドレスでドットを扱う際に特別な対応は必要ですか?

はい、ドットはバックスラッシュでエスケープする必要があります。正規表現ではドットは任意の1文字(改行以外)にマッチするためです。

例: 192\.168\.1\.1 または www\.secureworks\.com

どのエンティティに対してマッチできますか?

抑止ルールを作成する最良の方法は、既存の検出にリストされているエンティティを活用することです。検出の詳細を表示する際に利用可能なエンティティを確認するには:

  1. JSONタブに移動します。
  2. entities JSONオブジェクトを展開します。

  3. 検出にリストされているエンティティを確認します。

    注意

    検出に_entities_がない場合、その検出は現時点では抑止できません。すべての検出で抑止が利用できるよう対応中です。

    検出エンティティ

ルール作成時には、ドロップダウンからエンティティを選択できます。以下のエンティティが検出抑止ルールの作成に利用可能です。一意のエンティティは、検出に含まれる個々のイベントからパースされます。

エンティティプレフィックス エンティティの説明
authDomainName Active Directoryドメイン
sourceUserName Authソースユーザー名
sourceAuthDomainName Authソースドメイン名
targetUserName Authターゲットユーザー名
targetAuthDomainName Authターゲットドメイン名
computerName コンピューター名
decodedScriptSha1 デコード済みスクリプトSHA1
destHostName 宛先ホスト名
destIpAddress 宛先IPアドレス
destIpGeo 宛先IPジオロケーション
destMacAddress 宛先MACアドレス
dnsName DNS名
fileMd5 ファイルMD5
fileName ファイル名
fileSha1 ファイルSHA1
fileSha256 ファイルSHA256
fileSha512 ファイルSHA512
ipAddress IPアドレス
city IPアドレスのジオロケーション都市
country IPアドレスのジオロケーション国
latLon IPアドレスの緯度・経度
macAddress MACアドレス
programMd5 プログラムMD5
programName プログラム名
programSha1 プログラムSHA1
programSha256 プログラムSHA256
programSha512 プログラムSHA512
registryName レジストリ名
registryPath レジストリパス
scriptSha1 スクリプトSHA1
sensorHostId センサーホストID
sensorId センサーID
sourceIpAddress ソースIPアドレス
sourceIpGeo ソースIPジオロケーション
sourceMacAddress ソースMACアドレス
topPrivateIpDomain トッププライベートIPドメイン
userName ユーザー名
workstationName ワークステーション名
どの検知機が検出抑止をサポートしていますか?

すべての検知機および検出ソースが抑止をサポートしています。

抑止ルールでクエリ言語を使う際の制限はありますか?

現時点で以下の検出スキーマフィールドはサポートされていません:

  • enrichment_details
  • third_party_details — 代わりにthirdpartyイベントスキーマを使用してください
  • status
  • case
特定のコマンドラインを含む検出の抑止ルールを作成するには?

コマンドラインで抑止するには、詳細抑止ルールのクエリ言語でprocess.commandlineスキーマを使用します。

from detection where process.commandline contains 'your_string'

抑止ルールで検出エンティティを使うには?

検出エンティティを利用する方法は2つあります:

  • クエリで論理型を使用して、目的の検出エンティティを含めます。ホスト名で抑止する場合は@hostを使用します。

    from detection where @host='somehostname'

  • エンティティフィールドを直接使用します。抑止したい検出を表示中に、JSONビューでentities.entitiesを開き、目的のエンティティにマッチする文字列全体を使用します。宛先IPアドレスで抑止する場合:

    from detection where entities='destIpAddress:128.206.10.3'

抑止のためにIP CIDR範囲を使うには?

ルールのクエリでIP CIDR範囲が利用できるようになりました。CIDR表記の詳細はCIDR表記をご覧ください。

注意

検出検索はCIDR範囲をサポートしていないため、これらのクエリは詳細検索で作成できません。詳細検索でCIDR範囲なしのクエリを作成し、抑止ルール作成時に範囲を追加することを推奨します。