コンテンツにスキップ

検出抑止ルール🔗

注意

Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

検出抑止ルールを作成することで、検出が作成された際に_抑止済み_として解決され、検出トリアージダッシュボードにはデフォルトで表示されなくなりますが、検索では引き続き見つけることができます。

重要

抑止済みの検出はSecureworksアナリストによるトリアージの対象外です。

ヒント

より高いレベルのサポートをご希望の場合、SecureworksプロフェッショナルサービスチームがTaegis XDRへの投資から最大限の価値を引き出すお手伝いをいたします。高度なスキルを持つコンサルタントが、迅速な展開、最適化、価値実現までの時間短縮をサポートします。詳細については、 プロフェッショナルサービス概要

検出抑止ルールの表示🔗

  1. Taegis Menuから検出 > カスタマイズルールを選択します。カスタムルールテーブルが表示されます。
  2. 抑止ルールタブを選択すると、現在のすべての抑止ルールが表示されます。

Suppression Rules

テナントルールはそのテナント固有であり、該当テナントの検出のみを抑止します。グローバルルールはすべてのXDRテナントに適用されます。グローバルルールは、検出ルールや検知機が調整されるまで検出の大量発生をトリアージするためによく作成されます。グローバルルールは読み取り専用です。グローバルルールについてご質問がある場合は、サポートまでご連絡ください。

抑止ルールの作成🔗

検出抑止ルールは、以下のいずれかの方法で作成できます。

クエリ言語による方法🔗

抑止ルールは、詳細検索クエリ言語を使用して検出の基となるイベントデータにマッチさせることができます。たとえば、抑止ルールではprocess.commandlineprocessparent_image_path、その他のイベントスキーマなどのクエリ言語要素を使用できます。

注意

詳細についてはFAQをご覧ください。

まず詳細検索を使用して、抑止したい検出をターゲットとするクエリを作成してから、抑止ルールを作成してください。

  1. 詳細検索クエリを作成し、今後抑止したい過去の検出を確認します。結果に満足したら、そのクエリをコピーしてルールビルダーに貼り付けます。
  2. 検出 > カスタマイズルールに移動し、抑止ルールタブを選択します。
  3. 抑止ルールテーブルの上部にあるルールの作成をクリックします。

  4. 抑止ルールの作成で、ターゲットとする検出にマッチする詳細検索クエリをルール条件フィールドに貼り付けます。

    ヒント

    右側のペインで現在のデータで一致候補を表示をクリックすると、クエリをテストしてターゲット検出にマッチするか確認できます。

  5. ルールの名前説明を入力します。

  6. このルールに一致した検出に付与する解決ステータスを選択します。

    Create a Suppression Rule with Query Language

  7. ルールの作成をクリックします。

検出による方法🔗

  1. 抑止したい検出の詳細を開きます
  2. 検出の詳細ページでアクション > 抑止ルールの作成を選択します。

  3. 抑止ルールの作成フォームに検出からエンティティが自動入力されます。1つ以上のエンティティを選択してルールを作成するか、手動で条件を追加します。

    • 複数の条件はAND演算子で結合されます。
    • 条件にはPCRE正規表現を使用してマッチングを行います。
    • 抑止ルールはストリーミングデータに対してクエリを実行し、プリミティブフィールドにはデフォルト値が自動的に設定されません。これは、Taegisデータレイクに保存されたデータをデータレイク検索で検索する場合と異なります。抑止ルールでは、NULL演算子を使用してこれらのプリミティブフィールドが設定されているか確認できます。
    • 事前入力されたエンティティを使用する場合、正規表現の特殊文字は自動的にエスケープされます。手動で条件を追加する場合は、これらの文字をエスケープする必要があります。詳細は以下の注意をご覧ください。

    注意

    正規表現内で次の文字は特別な意味を持ちます: . ^ $ * + - ? ( ) [ ] { } \ | /。IPアドレスやドメイン名などの場合、これらの文字はバックスラッシュでエスケープしてください: 1\.1\.1\.1
    複数の特殊文字を含む長い文字列をエスケープする場合は、文字列全体を \Q\E で囲むことで、正規表現の特殊文字として評価されないようにできます。例えば、次の文字列全体をエスケープする場合:
    \Q${jndi:ldap://log4shell-smb-21yg3cbuy21gbcy21gc321uc${lower:ten}.w.nessus.org/nessus}\E
    これは次のようにエスケープした場合と同等です:
    \$\{jndi:ldap:\/\/log4shell\-smb\-21yg3cbuy21gbcy21gc321uc\$\{lower:ten\}\.w\.nessus\.org\/nessus\}

  4. ルールの名前説明を入力します。

  5. このルールに一致した検出に付与する解決ステータスを選択します。

    Create a Suppression Rule from a Specific Detection

  6. ルールの作成をクリックします。

抑止ルールの詳細と履歴の表示🔗

抑止ルールテーブルからルール名を選択すると、その詳細と履歴を表示できます。

抑止ルールの詳細🔗

抑止ルールの詳細タブには、ルールの概要情報とルールがマッチする条件が表示されます。この画面からルール名、条件、説明、解決ラベルを編集できます。

View the Details of a Suppression Rule

ルールが過去7日間に検出にマッチして抑止した場合、以下が表示されます。

  • 過去7日間のヒット数
  • 最終ヒット日時
  • ヒット数の推移を示す折れ線グラフ

過去7日間にアクティビティがない場合、このセクションは表示されません。

抑止ルールの履歴🔗

抑止ルールの履歴タブには、ルールの編集履歴(変更ログ)が表示されます。左側のリストから監査ログを選択すると、右側のペインで差分を確認できます。

View the Changelog of a Rule

抑止ルールのアーカイブとリストア🔗

Archive and Restore Suppression Rules

抑止ルールを表示中にアーカイブを選択し、アクションを確認すると、そのルールをアーカイブできます。これによりルールは無効化され、アーカイブ済みとしてマークされ、抑止ルールテーブルのデフォルト表示から除外されます。

アーカイブ済みルールを表示するには、テーブル上部のアーカイブ済みルールを表示を選択します。

アーカイブ済み抑止ルールを表示中にリストアを選択し、アクションを確認すると、そのルールを無効状態でリストアし、抑止ルールテーブルのデフォルト表示に戻します。トグルを選択してルールを有効化できます。

抑止ルールの共有🔗

テナント内の他のユーザーと抑止ルールを共有するには、ルール詳細画面で共有リンクをコピーアイコンを選択し、直接URLを取得します。

Copy Link to Share Rule

よく使われる検出抑止ルール🔗

許可されたスキャナー🔗

許可されたスキャナーから発生する検出を抑止するには、ソースIPアドレスを使用します。

複数の許可スキャナーがある場合は、正規表現を使用してすべてのIPアドレスを1つの抑止ルールにまとめてください。

ゲストネットワーク範囲🔗

ゲストネットワーク範囲からの検出を抑止するには、ソースIPアドレスを使用し、正規表現でネットワーク全体にマッチさせます。

エンドポイント上の許可されたプロセス実行🔗

エンドポイントとプロセスの両方にマッチするパターンを組み合わせて使用します。

  • エンドポイントにマッチさせるには以下のいずれかを使用します:

    • センサーホストID
    • IPアドレス(ホストが固定IPアドレスを持ち、エンドポイントエージェントがインストールされていない場合)

  • プロセスにマッチさせるには以下のいずれかを使用します:

    • ファイル名
    • ファイル(MD5|SHA1|SHA256|SHA512)
    • プログラム名
    • プログラム(MD5|SHA1|SHA256|SHA512)
    • スクリプトSHA1(実行されたスクリプトのハッシュ)

FAQ🔗

検出が抑止されたかどうかはどのように確認できますか?

抑止済みの検出には_抑止済み_のフィードバックラベルが付与されます。

Suppressed Detection

抑止済みの検出を検索するには?

抑止済みの検出には_抑止済み_のフィードバックラベルが付与されています。以下のクエリで検索できます。

from detection where suppressed = true

検索結果から抑止済みの検出を除外するには、labelName条件にNOTを追加してください。

from detection where suppressed = false

別の方法として、ルール自体からピボットサーチを実行できます。ルールを開き、このルールで抑止されたすべてのアラートを検索の隣にある新しいタブアイコンを選択します。これにより、そのルールで抑止された検出を検索する詳細検索が開きます。

抑止済みの検出をケースに追加できますか?

はい、抑止済みの検出も新規または既存のケースに追加できます。

抑止済み検出のフィードバックラベルを変更できますか?

はい、検出の詳細画面でフィードバックラベルを削除または変更できます。

ルールマネージャーのアクティビティを監査できますか?

はい、ルールマネージャーでのアクションはテナント設定 > 監査ログから確認できます。監査ログのカテゴリはルールとなります。

さらに、ルール自体から編集履歴(変更ログ)も確認できます。抑止ルールの詳細と履歴の表示をご覧ください。

検出が抑止された場合、どのルールで抑止されたかはどのように確認できますか?

検出の詳細画面で、抑止ルールフィールドのルール名をクリックすると、サイドパネルでルールを表示できます。

ルールでサポートされている正規表現の機能は?

検出抑止エンジンはHyperscanを利用して正規表現を適用します。Hyperscanはhttp://www.pcre.org/で説明されているPCREライブラリlibpcreのパターン構文をサポートしています。ただし、libpcreで利用可能なすべての構文がサポートされているわけではありません。サポートされていない構文を使用するとコンパイルエラーとなります。

詳細はHyperscan Developer Reference Compilationをご覧ください。

ドメイン名やIPアドレスでドットを扱う際に特別な対応は必要ですか?

はい、ドットはバックスラッシュでエスケープする必要があります。正規表現ではドットは改行以外の任意の1文字を意味します。

例: 192\.168\.1\.1 または www\.secureworks\.com

どのエンティティに対してマッチできますか?

抑止ルールを作成する最良の方法は、既存の検出にリストされているエンティティを活用することです。検出の詳細を表示しているときに利用可能なエンティティを確認するには:

  1. JSONタブに移動します。
  2. entities JSONオブジェクトを展開します。

  3. 検出にリストされているエンティティを確認します。

    注意

    検出に_entities_がない場合、その検出は現時点では抑止できません。すべての検出で抑止が利用できるよう対応中です。

    Detection Entities

ルール作成時にはドロップダウンからエンティティを選択できます。以下のエンティティが検出抑止ルールの作成に利用できます。一意のエンティティは、検出に含まれる個々のイベントからパースされます。

エンティティプレフィックス エンティティの説明
authDomainName Active Directoryドメイン
sourceUserName Authソースユーザー名
sourceAuthDomainName Authソースドメイン名
targetUserName Authターゲットユーザー名
targetAuthDomainName Authターゲットドメイン名
computerName コンピューター名
decodedScriptSha1 デコード済みスクリプトSHA1
destHostName 宛先ホスト名
destIpAddress 宛先IPアドレス
destIpGeo 宛先IPジオロケーション
destMacAddress 宛先MACアドレス
dnsName DNS名
fileMd5 ファイルMD5
fileName ファイル名
fileSha1 ファイルSHA1
fileSha256 ファイルSHA256
fileSha512 ファイルSHA512
ipAddress IPアドレス
city IPアドレスジオロケーション都市
country IPアドレスジオロケーション国
latLon IPアドレス緯度・経度
macAddress MACアドレス
programMd5 プログラムMD5
programName プログラム名
programSha1 プログラムSHA1
programSha256 プログラムSHA256
programSha512 プログラムSHA512
registryName レジストリ名
registryPath レジストリパス
scriptSha1 スクリプトSHA1
sensorHostId センサーホストID
sensorId センサーID
sourceIpAddress ソースIPアドレス
sourceIpGeo ソースIPジオロケーション
sourceMacAddress ソースMACアドレス
topPrivateIpDomain トッププライベートIPドメイン
userName ユーザー名
workstationName ワークステーション名
どの検知機が検出抑止をサポートしていますか?

すべての検知機および検出ソースが抑止をサポートしています。

抑止ルールでクエリ言語を使用する際の制限はありますか?

現時点で以下の検出スキーマフィールドはサポートされていません:

  • enrichment_details
  • third_party_details — 代わりにthirdpartyイベントスキーマを使用してください
  • status
  • case
特定のコマンドラインを含む検出に対して抑止ルールを作成するには?

コマンドラインで抑止するには、詳細抑止ルールのクエリ言語でprocess.commandlineスキーマを使用します。

FROM detection WHERE process.commandline CONTAINS 'your_string'

抑止ルールで検出エンティティを使用するには?

検出エンティティを使用する方法は2つあります:

  • クエリで論理型を使用して、目的の検出エンティティを含めます。ホスト名で抑止する場合は@hostを使用します。

    FROM detection WHERE @host='somehostname'

  • エンティティフィールドを直接使用します。抑止したい検出を表示中に、JSONビューでentities.entitiesを開きます。目的のエンティティにマッチする完全な文字列を使用します。宛先IPアドレスで抑止する場合:

    FROM detection WHERE entities='destIpAddress:128.206.10.3'

抑止ルールでIP CIDR範囲を使用するには?

ルールのクエリでIPv4 CIDR範囲を使用できるようになりました。

注意

検出検索はCIDR範囲をサポートしていないため、これらのクエリは詳細検索で作成できません。詳細検索でCIDR範囲なしのクエリを作成し、抑止ルール作成時に範囲を追加することを推奨します。

注意

現時点で抑止ルールはIPv6 CIDR範囲をサポートしていません。

IPv6アドレスの検出を抑止するには?

抑止ルールはIPv6アドレスをサポートしています。抑止ルールでIPv6アドレスを使用すると、アドレスが自動的に正規化され、同等の表記にもマッチします。たとえば、圧縮形式を使用したルールは、非圧縮形式にもマッチします。

IPv6アドレスで抑止ルールを作成する方法は3つあります:

  1. 論理型(例:@ip:

    FROM detection WHERE @ip = '2001:db8:85a3::8a2e:370:7334'

  2. スキーマフィールド(例:auth.source_address:

    FROM detection WHERE auth.source_address = '2001:db8:abcd:1234:0:1::'

  3. エンティティ(例:sourceIpAddress:

    FROM detection WHERE entities = 'sourceIpAddress:2001:db8:abcd:1234:0:1::'

いずれの場合も、アドレスが圧縮(例:2001:db8:abcd:1234:0:1::)、部分展開(例:2001:db8:abcd:1234:0:1:0:0)、完全展開(例:2001:db8:abcd:1234:0000:0001:0000:0000)のいずれの形式でもマッチします。

注意

  • 抑止ルールは現時点でIPv4マップドIPv6アドレス(例:::ffff:192.0.2.47)をサポートしていません。
  • 抑止ルールは現時点でIPv6 CIDR範囲をサポートしていません。IPv6アドレスの範囲を抑止するには、個別のルールを作成するか、検出による方法で正規表現パターンを使用してください。