コンテンツにスキップ

事前対応アクションの概要🔗

脅威対応🔗

脅威対応アクションはSecureworks® Taegis™ XDRに標準搭載されており、アナリストは重大と判断された脅威のケースに対してこれらのアクションを実行します。脅威対応アクションには以下が含まれます。

  • ホストの隔離 / ホストのリストア
  • IPのブロック / IPのブロック解除
  • ユーザーの無効化 / ユーザーの有効化
  • ユーザーサインインセッションの取り消し(ユーザーを無効化するとユーザーセッションが取り消されます)

Secureworksのアナリストは、上記のアクションを実施する前に、お客様(契約しているお客様)から明示的な許可を得ることが必須です。

事前対応🔗

事前対応については、Taegisアクションを事前対応用に設定・認可した後は、Secureworksはお客様に事前連絡することなく、指定された認可済みアクションをお客様に代わって実施します。

事前対応アクションを認可することで、特に指定されたセキュリティ担当者に連絡が取れない場合でも、Secureworksが対応を待つ必要がなくなるため、貴重な時間を節約できます。隔離に関連する事前対応では、事前対応アクションを実施してほしい特定の資産を指定することも可能です。

事前対応アクションにより、Secureworks® Taegis™ MDRアナリストは、お客様への事前通知や返答待ちをせずに資産に対してアクションを実施できるため、重要なアクションの遅延を防ぐことができます。アナリストは、重大と判断された脅威のケースを分析した後に対応アクションを実施します。重大な脅威の例としては、以下が含まれますが、これらに限定されません。

  • 脅威攻撃者による「ハンズオンキーボード」でのお客様環境へのアクセス
  • ランサムウェアの発生
  • 資格情報のダンピング
  • Webshellアクティビティ
  • 横展開の成功の証拠
  • データの持ち出し
  • 権限昇格

利用可能な事前対応アクション🔗

現在、複数の対応テクノロジーインテグレーションでTaegisアクションとして設定可能な事前対応アクションは以下の通りです。

  • ホストの隔離 / リストア
  • ユーザーの無効化 / 有効化
  • IPのブロック / ブロック解除

さらに、プレイブックとして設定可能な追加の事前対応アクションは以下の通りです。

  • Microsoft Entra ID パスワードの強制リセット
  • AWS ユーザーアクセスキーの有効化 / 無効化
  • AWS ユーザーMFAデバイスの無効化

きめ細かな除外機能🔗

事前対応アクションでは、アクションの対象となる資産やユーザーをきめ細かくフィルタリングできます。そのためには、CEL構文でトリガーフィルターを入力し、アクションまたはプレイブックの設定時にオプションが表示される条件を指定します。トリガーフィルターが指定されていない場合、事前対応がアクションまたはプレイブックの設定で有効になっていれば、すべての関連資産およびユーザーがアクションの対象となります。

事前対応の認可とアクションの有効化🔗

Taegis MDRのアナリストが必要と判断した際にお客様の環境で実施可能な事前対応アクションを利用するには、XDRで事前対応アクションを認可し、対応するTaegisアクションまたはプレイブックを設定・維持する必要があります。これらのアクションはTaegis MDR契約しているお客様のみご利用いただけます。

コネクターと接続🔗

自動化において、コネクター とは、XDRが外部ITツールとどのように通信するかを定義するものであり、プレイブックやTaegisアクションがベンダーによって公開されたAPIコールを実行できるようにします。

接続は、お客様が設定するコネクターのインスタンスです。接続は、XDRがお客様の環境内のITツールに認証するための方法と、認証先となるURLを提供します。

Taegis MDRでは、XDRで実施したい対応アクションや、Taegis MDRアナリストにお客様の代わりに実施してほしいアクションについて、お客様の環境で対応テクノロジーごとに個別の接続設定が必要です。Secureworksのテクノロジー(Taegis™ XDR Endpoint Agent、Red Cloak™ Endpoint Agent、Taegis™ NDR)については、自動的に設定されるため、自動化のための接続設定は不要です。

接続の設定方法については、新しい接続の作成をご参照ください。

Taegisアクション🔗

Taegisアクションを利用することで、汎用的な対応アクションやエンリッチメントアクションの設定・利用がこれまで以上に簡単になります。これらのアクションはトリアージや調査ワークフローに密接に統合されており、分析の迅速化と迅速な対応を実現します。

各Taegisアクションは、一般的なITおよび情報セキュリティツールとの複数のインテグレーションをサポートし、各テクノロジーの複数インスタンスにも対応しています。これにより、テクノロジーごとに複数のインテグレーションを個別に設定・維持する必要がなくなります。

対応するアクションで事前対応を有効化すると、Taegis MDRアナリストが必要と判断した際にお客様の代わりにアクションを実施できます。

Taegis MDRの場合、ホストの隔離など、Taegis MDRアナリストに実施してほしいアクションについて、お客様の環境で対応テクノロジーとのインテグレーションを設定する必要があります。

設定の詳細については、Taegisアクションをご参照ください。

注意

上記の一部の事前対応アクションは、現時点ではプレイブックとしてのみ設定可能です。