事前対応アクションの概要🔗
脅威対応🔗
脅威対応アクションはSecureworks® Taegis™ XDRに標準搭載されており、アナリストは重大と判断された脅威のケースに対応するためにこれらのアクションを使用します。脅威対応アクションには以下が含まれます。
- ホストの隔離
- Entra IDによるユーザーパスワードのリセット
- Entra IDによるユーザーのブロック
- AWSによるユーザーのブロック
- オンプレミスADによるユーザーのブロック
- オンプレミスADによるユーザーパスワードのリセット
- AWSによるアクセスキーの無効化
- AWSによるMFAデバイスの無効化
- Taegis™ NDR (iSensor)によるIPブロック
Secureworksのアナリストは、上記のアクションを実施する前に、お客様(契約しているお客様)から明示的な許可を必ず取得する必要があります。
事前対応🔗
事前対応については、お客様が事前対応アクションを設定・認可した後、Secureworksは指定された認可済みアクションを実施する前にお客様へ連絡しません(つまり、お客様に代わって事前に対応します)。
事前対応アクションを認可することで、特に当社がご連絡を試みた際に指定されたセキュリティ担当者が不在の場合でも、当社が対応を待つ必要がなくなるため、貴重な時間を節約できます。隔離に関連する事前対応では、どの資産に対して事前対応を実施してほしいかを指定することも可能です。
事前対応アクションにより、Secureworks® Taegis™ MDRアナリストは、お客様への事前通知や返答待ちをせずに資産に対して対応を実施できるため、重大なアクションの遅延を防ぐことができます。アナリストは、重大と判断された脅威のケースを分析した後に対応アクションを実施します。重大な脅威の例として、以下が挙げられますが、これらに限定されません。
- 攻撃者による「ハンズオンキーボード」でのお客様環境へのアクセス
- ランサムウェアの発生
- 資格情報のダンピング
- Webshellアクティビティ
- 横展開の成功の証拠
- データの持ち出し
- 権限昇格
現在利用可能な事前対応アクションは以下の通りです。
| ネットワーク対応アクション | ||
|---|---|---|
| Taegis™ NDR (iSensor) | IPブロック | IPブロックの解除 |
| オンプレミスActive Directory | ユーザーの無効化 | ユーザーの有効化 |
| エンドポイント対応アクション | ||
|---|---|---|
| Taegis | ホストの隔離** | ホストのリストア** |
| Red Cloak | ホストの隔離** | ホストのリストア** |
| Carbon Black | ホストの隔離** | ホストのリストア** |
| Crowdstrike | ホストの隔離** | ホストのリストア** |
| Defender | ホストの隔離** | ホストのリストア** |
| SentinelOne | ホストの隔離** | ホストのリストア** |
詳細な除外機能🔗
注意
現時点では、ホストの隔離およびリストアの事前対応アクションのみ、資産のタグ付けによる詳細なフィルタリング(資産の選択的な対象/除外)が可能です。他の事前対応プレイブックが作成され、サービスが有効化された場合、関連するすべての資産およびユーザーがアクションの対象となります。たとえば、Microsoft Entra IDのユーザー無効化プレイブックが事前対応用に設定されており、ユーザーアカウントに侵害の兆候が見られる場合、そのアカウントは無効化されます。
| クラウド対応アクション | |||||
|---|---|---|---|---|---|
| Microsoft Entra ID | ユーザーの無効化 | ユーザーの有効化 | パスワードの強制リセット | ||
| Amazon Web Services | ユーザーの無効化 | ユーザーの有効化 | ユーザーアクセスキーの無効化 | ユーザーアクセスキーの有効化 | ユーザーMFAデバイスの無効化 |
Taegis MDRアナリストが必要と判断した際にお客様の環境で実施可能なTaegis MDR事前対応アクションを利用するには、サポートされているコネクターおよびプレイブックを設定・維持し、XDRで事前対応アクションを認可する必要があります。これらのアクションはTaegis MDR契約しているお客様のみご利用いただけます。
コネクターと接続🔗
自動化において、コネクターはXDRが外部ITツールと通信する方法を定義するものであり、プレイブックがベンダーによって公開されたAPIコールを実行できるようにします。
接続は、お客様が設定するコネクターのインスタンスです。接続は、XDRがお客様の環境内のITツールに認証するための方法と、認証先となるURLを提供します。
Taegis MDRでは、XDRで実施したい対応アクションや、Taegis MDRアナリストに代行してもらいたいアクションごとに、お客様環境のサポートされているエンドポイントエージェントに特化した接続を設定する必要があります。Secureworksのテクノロジー(Taegis™ XDR Endpoint Agent、Red Cloak™ Endpoint Agent、Taegis™ NDR)については、自動化プレイブック用の接続設定は不要で、自動的に設定されます。
接続の設定方法については、新しい接続の作成をご参照ください。
プレイブック🔗
自動化において、プレイブックは、1つ以上の設定済み接続を使用して、どのアクションをいつ実行するかを定義します。これにより、お客様の設定に基づいて、お客様の環境でアクションを自動的に実行できます。プレイブックはプレイブックテンプレートを通じて定義されており、一部はSecureworksによって提供され、また一部はお客様の組織によって定義される場合があります。
プレイブックを設定することで、Taegis MDRアナリストが必要と判断した際にお客様の環境で事前対応アクションを実施できるようになります。
Taegis MDRでは、ホストの隔離など、Taegis MDRアナリストに実施してほしいアクションや、主要な発見事項がケースに追加された際にServiceNowチケットを自動作成するなどの自動化アクションごとに、お客様環境のサポートされているエンドポイントエージェントに特化したプレイブックを設定する必要があります。
プレイブックの設定方法については、新しいプレイブックの作成をご参照ください。