コンテンツにスキップ

事前対応アクションの概要🔗

脅威対応🔗

脅威対応アクションはSecureworks® Taegis™ XDRに標準搭載されており、アナリストは重大と判断された脅威のケースに対してこれらのアクションを実行します。脅威対応アクションには以下が含まれます。

  • ホストの隔離 / ホストのリストア
  • IPのブロック / IPのブロック解除
  • ユーザーの無効化 / ユーザーの有効化
  • ユーザーサインインセッションの取り消し(ユーザーの無効化はユーザーセッションの取り消しを伴います)

Secureworksのアナリストは、上記のアクションを実施する前に、お客様(契約しているお客様)から明示的な許可を得ることが必須です。

事前対応🔗

事前対応については、事前対応用のTaegisアクションを設定・認可した後は、Secureworksはお客様に連絡することなく、指定された認可済みアクションをお客様に代わって実施します。

事前対応アクションを認可することで、特に指定されたセキュリティ担当者に連絡が取れない場合でも、Secureworksが対応を待つ必要がなくなるため、貴重な時間を節約できます。隔離に関する事前対応では、どの資産に対して事前対応を実施してほしいかを指定することも可能です。

事前対応アクションにより、Secureworks® Taegis™ MDRアナリストは、お客様への事前通知や返答待ちをせずに資産に対してアクションを実施できるため、重大なアクションの遅延を防ぐことができます。アナリストは、重大と判断された脅威のケースを分析した後に対応アクションを実施します。重大な脅威の例としては、以下が含まれますが、これらに限定されません。

  • 脅威攻撃者による「ハンズオンキーボード」でのお客様環境へのアクセス
  • ランサムウェアの発生
  • 資格情報のダンピング
  • Webシェルのアクティビティ
  • 横展開の成功の証拠
  • データの持ち出し
  • 権限昇格

利用可能な事前対応アクション🔗

現在、複数の対応テクノロジーインテグレーションでTaegisアクションとして設定可能な事前対応アクションは以下の通りです。

  • ホストの隔離 / ホストのリストア
  • ユーザーの無効化 / ユーザーの有効化
  • IPのブロック / IPのブロック解除

きめ細かな除外機能🔗

事前対応アクションでは、アクションの対象となる資産やユーザーをきめ細かくフィルタリングできます。そのためには、CEL構文でトリガーフィルターを入力し、アクションの設定時にオプションが表示される条件を指定します。トリガーフィルターが指定されていない場合、アクション設定で事前対応が有効になっていれば、すべての関連資産およびユーザーがアクションの対象となります。

事前対応の認可とアクションの有効化🔗

Taegis MDRアナリストが必要と判断した際にお客様の環境で実施可能なTaegis MDR事前対応アクションを利用するには、XDRで事前対応アクションを認可し、対応するTaegisアクションを設定・維持する必要があります。これらのアクションはTaegis MDR契約しているお客様のみご利用いただけます。

重要

事前対応用のプレイブックを利用する場合、各タイプごとに1つの対応アクションのみ事前認可できます。同じタイプの事前認可アクションを2つ設定しようとすると、XDRはエラーを返します。可能な場合は、事前対応用のプレイブックではなく、アクションを利用し、複数のベンダーを選択してください。

コネクターと接続🔗

自動化において、コネクター とは、XDRが外部ITツールと通信する方法を定義するものであり、プレイブックやTaegisアクションがベンダーによって公開されたAPIコールを実行できるようにします。

接続 とは、お客様が設定するコネクターのインスタンスです。接続は、XDRがお客様の環境内のITツールに認証する方法や、認証先となるURLを提供します。

Taegis MDRでは、XDRで実施したい対応アクションや、Taegis MDRアナリストにお客様の代わりに実施してほしいアクションについて、お客様の環境で対応するテクノロジーごとに専用の接続を設定する必要があります。Secureworksのテクノロジー(Taegis™ XDR Endpoint Agent、Red Cloak™ Endpoint Agent、Taegis™ NDR)については、自動的に設定されるため、自動化用の接続設定は不要です。

接続の設定方法については、新しい接続の作成をご参照ください。

Taegisアクション🔗

Taegisアクションを利用することで、汎用的な対応アクションやエンリッチメントアクションの設定・利用がこれまで以上に簡単になります。これらのアクションはトリアージや調査ワークフローに密接に統合されており、分析の迅速化と即応を実現します。

各Taegisアクションは、一般的なITおよび情報セキュリティツールとの複数のインテグレーションをサポートし、各テクノロジーの複数インスタンスにも対応しています。これにより、テクノロジーごとのインテグレーションを個別に設定・維持する必要がなくなります。

対応するアクションで事前対応を有効化すると、Taegis MDRアナリストが必要と判断した際にお客様に代わってアクションを実施できます。

Taegis MDRでは、ホストの隔離など、Taegis MDRアナリストに実施してほしいアクションについて、お客様の環境で対応するテクノロジーとのインテグレーションを設定する必要があります。

設定方法の詳細はTaegisアクションをご参照ください。