タグを使用したエンドポイント事前対応ポリシーの設定🔗
以下は、タグを使用して事前対応の隔離およびリストアアクションポリシーを設定する方法を示します。エンドポイントのタグ付けに関する詳細は、エンドポイントタグの追加と削除を参照してください。
注意
Taegisアクションは、アクション設定で選択したエンドポイントエージェントを持つ、既存の資産および今後追加されるすべての資産に適用されます。ただし、CEL構文でトリガーフィルターを入力して、アクションが表示される条件を指定しない限り、すべての資産が対象となります。
特定の資産に対して事前対応の隔離およびリストアアクションを実施する、または逆に_実施しない_ことを示すには、該当する資産のタグKEYフィールドにタグを追加します。
Taegis MDRの目的においては、お客様のニーズに最も効果的な任意の資産タグ付けスキーマを使用できます。ただし、資産管理およびタグ付けポリシーを定義する際には、以下の点を考慮してください。
重要
新しい資産が環境に追加または変更される際、継続的な資産管理およびタグ付けは、Taegis MDRサービスの一環として事前対応アクションが適切に処理されるために重要です。これはお客様の責任であり、弊社アナリストは新しい資産に関するお客様の意図を把握していません。
考慮すべき一般的なポリシーには、以下の2種類があります。
デフォルトのオプトインポリシー🔗
_ほとんど_の資産に対して事前対応の隔離およびリストアアクションを実施し、特定の資産のみアクションを_実施しない_場合は、デフォルトのオプトインポリシーが最適です。このポリシーでは、大多数の資産に事前対応の隔離およびリストアアクションを提供し、指定したタグ付き資産のみ除外できます。
この方法では、MDRアナリストは、資産が事前対応アクションの未承認として明示的にタグ付けされていない限り、事前対応の隔離およびリストアアクションを実施します。任意の種類や数のタグを使用できます。例:
- すべての役員用ノートPC資産には、タグKEYフィールドに
VIP_no_responseタグを使用 - すべての重要インフラ資産には、タグKEYフィールドに
critical_no_responseタグを使用
これらの例のタグは、VIPや重要インフラ資産について、お客様の明示的な許可なしに事前対応アクションを実施しないことを指定します。事前対応の隔離およびリストアアクションを_実施しない_資産には、必ずタグを付与してください。
関連するTaegisアクションの設定時、有効化条件オプションで次の場合のみを選択し、トリガーフィルターを入力して、作成したタグを持つ特定の資産に対して事前対応アクションが_実施されない_ようにします。詳細は以下の例を参照してください。
重要
このポリシーでは、タグ付けされていないすべての資産に事前対応の隔離およびリストアアクションが実施されます。このポリシーの利点は、新しい資産にタグを付与し忘れた場合やタグ付けしなくても、デフォルトで事前対応アクションが実施される点です。
例:事前対応の隔離およびリストアアクションを未承認とする資産へのタグ付与🔗
Isolate HostおよびUnIsolate Hostアクションを、以下のトリガーフィルターで設定し、VIP_no_responseやcritical_no_responseなど、事前対応の隔離およびリストアアクションを_実施しない_資産に作成したタグの不在をチェックします。お客様の環境に合わせてエンドポイントタイプを更新してください。
トリガーフィルター:inputs.asset.endpointType == 'ENDPOINT_TAEGIS' && !('VIP_no_response' in assetTags(inputs)) && !('critical_no_response' in assetTags(inputs))
事前対応の隔離およびリストアアクションを_実施しない_すべての関連資産のタグKEYフィールドに、フィルターで指定したタグを追加してください。
注意
Secureworksが、未承認としてタグ付けされた資産に重大な脅威があると判断した場合、電話でお客様にご連絡します。お客様の許可を得た後、Secureworksは該当資産のタグを削除し、必要なアクション(例:MXDR_ISOLATE)を実施します。お客様が復旧作業を完了した後、必要に応じて再度タグを追加できます。
デフォルトのオプトアウトポリシー🔗
_ほとんど_の資産に対して事前対応の隔離およびリストアアクションを_実施しない_場合で、特定のタグ付き資産のみアクションを実施したい場合は、デフォルトのオプトアウトポリシーが推奨されます。
この方法では、Taegis MDRアナリストは、資産が事前対応アクションの承認として明示的にタグ付けされていない限り、事前対応の隔離およびリストアアクションを_実施しません_。事前対応アクションを実施したいすべての資産にタグを付与してください。 任意の種類や数のタグを使用できます。例:
- MDRアナリストに事前対応アクションを実施してほしい資産のタグKEYフィールドに、
response_approvedタグを追加
関連するTaegisアクションの設定時、有効化条件オプションで次の場合のみを選択し、トリガーフィルターを入力して、作成したタグを持つ特定の資産に対してのみ事前対応の隔離およびリストアアクションが実施されるようにします。詳細は以下の例を参照してください。
重要
このポリシーでは、タグが付与されていない資産には事前対応の隔離およびリストアアクションは_実施されません_。この利点は、新しい資産が運用開始されてからタグ付けされるまでの間や、タグ付けを忘れた場合でも、デフォルトで事前対応アクションが実施されない点です。
例:事前対応の隔離およびリストアアクションを承認する資産へのタグ付与🔗
Isolate HostおよびUnIsolate Hostアクションを、以下のトリガーフィルターで設定し、response_approvedなど、事前対応の隔離およびリストアアクションを_実施したい_資産に作成したタグの存在をチェックします。お客様の環境に合わせてエンドポイントタイプを更新してください。
トリガーフィルター:inputs.asset.endpointType == 'ENDPOINT_TAEGIS' && ('response_approved' in assetTags(inputs))
事前対応の隔離およびリストアアクションを_実施したい_すべての関連資産のタグKEYフィールドに、フィルターで指定したタグを追加してください。
エンドポイントの一括タグ付け🔗
複数のエンドポイント(資産)を一度に検索・タグ付けするには、エンドポイントエージェントサマリーのフィルタリングおよびタグ付け機能を使用してください。
- タグ付けしたい資産を選択するためのエンドポイントエージェントサマリーテーブルのフィルタリング方法については、エンドポイントエージェントサマリーテーブルのフィルタを参照してください。
- 複数のエンドポイントへの一括タグ付け方法については、複数エンドポイントの一括タグ付けを参照してください。