タグを使用した事前対応アクションの設定

以下は、タグを使用して事前対応の隔離およびリストアアクションポリシーを設定する方法を示します。

注意

エンドポイントベースのプレイブックの例は、Taegisエージェントがインストールされているすべての資産（既存資産および今後追加される新規資産の両方）に適用されます。他のエンドポイントやインテグレーション用に作成したすべてのプレイブックについても同様です。

特定の資産に対して事前対応の隔離およびリストアアクションを実施する、または逆に_実施しない_ことを示すには、該当資産のタグKEYフィールドに追加した_タグ_を使用します。Taegis MDRの目的においては、お客様のニーズに最も効果的な資産タグ付けスキーマを使用できます。ただし、資産管理およびタグ付けポリシーを定義する際には、以下を考慮してください：新しい資産が追加または変更されるたびに、継続的な資産管理とタグ付けは、Taegis MDRサービスの一環として事前対応アクションが適切に処理されるために重要です。これはお客様の責任であり、当社アナリストは新規資産に関するお客様の意図を把握していません。

考慮すべき一般的なポリシーには、以下の2種類があります：

• デフォルトのオプトインポリシー
• デフォルトのオプトアウトポリシー

デフォルトのオプトインポリシー

_ほとんど_の資産に対して事前対応の隔離およびリストアアクションを実施したい場合（ただし、アクションを実施したくない特定の資産を除く場合）、デフォルトポリシーが最適です。このポリシーは、ほとんどの資産に事前対応アクションを提供し、指定した少数の資産を除外できます。

この方法では、MDRアナリストは、資産が事前対応アクション非承認として明示的にタグ付けされていない限り、事前対応の隔離およびリストアアクションを実施します。お好みのタグの種類や数を使用できます。例：

• すべての役員用ノートパソコン資産には、タグKEYフィールドにVIP_no_responseタグを使用
• すべての重要インフラ資産には、タグKEYフィールドにcritical_no_responseタグを使用

これらの例のタグは、VIPや重要インフラ資産に対して、お客様の明示的な許可なしに事前対応アクションが実施されないことを指定します。事前対応の隔離およびリストアアクションを実施したくないすべての資産にタグを付与する必要があります。 関連するプレイブックのトリガーフィルターフィールドを使用して、作成したタグが付与された特定の資産に対して事前対応アクションが_実施されない_ようにしてください。詳細は事前対応の隔離およびリストアアクションを承認しない資産へのタグ付与例を参照してください。

重要

このポリシーでは、タグが付与されていないすべての資産に対して事前対応の隔離およびリストアアクションが実施されます。このポリシーの利点は、新しい資産にタグを付与し忘れた場合やタグ付けを忘れた場合でも、デフォルトで事前対応アクションが実施されることです。

例：事前対応の隔離およびリストアアクションを承認しない資産へのタグ付与

このポリシーは、Taegisエージェントのホスト隔離およびリストアプレイブック設定と同様に構成しますが、トリガーフィルターを、事前対応アクションを実施したくない資産に付与したタグ（例：VIP_no_responseやcritical_no_response）が存在しないことを確認するように更新します：

トリガーフィルター：inputs.asset.endpointType == 'ENDPOINT_TAEGIS' && !('VIP_no_response' in assetTags(inputs)) && !('critical_no_response' in assetTags(inputs))

事前対応アクションを実施したくないすべての関連資産のタグKEYフィールドに、フィルターで指定したタグを追加する必要があります。

注意

Secureworksが、以前に非承認としてタグ付けされた資産に重大な脅威があると判断した場合、電話でお客様にご連絡します。お客様の許可を得た後、Secureworksは該当資産のタグを削除し、必要なアクション（例：MXDR_ISOLATE）を実施します。お客様が修復作業を完了した後、必要に応じて再度タグを追加できます。

デフォルトのオプトアウトポリシー

_ほとんど_の資産に対して事前対応アクションを実施したくない場合（ただし、アクションを実施したい特定の資産を除く場合）、デフォルトのオプトアウトポリシーが推奨されます。

この方法では、Taegis MDRアナリストは、資産が事前対応アクション承認として明示的にタグ付けされていない限り、事前対応アクションを実施しません。事前対応アクションを実施したいすべての資産にタグを付与する必要があります。 お好みのタグの種類や数を使用できます。例：

• MDRアナリストに事前対応アクションを実施してほしい資産のタグKEYフィールドにresponse_approvedタグを追加

その後、関連するプレイブックのトリガーフィルターフィールドを使用して、作成したタグが付与された特定の資産に対してのみ事前対応アクションが実施されるようにしてください。詳細は事前対応アクションを承認する資産へのタグ付与例を参照してください。

重要

このポリシーでは、タグが付与されていない資産には事前対応アクションが実施されません。この利点は、新しい資産にタグ付けを忘れた場合や、資産が運用開始されてからタグ付けされるまでの間に遅延があった場合でも、デフォルトで事前対応アクションが実施されないことです。

例：事前対応アクションを承認する資産へのタグ付与

このポリシーは、Taegisエージェントのホスト隔離およびリストアプレイブック設定と同様に構成しますが、トリガーフィルターを、事前対応アクションを実施したい資産に付与したタグ（例：response_approved）が存在することを確認するように更新します：

トリガーフィルター：inputs.asset.endpointType == 'ENDPOINT_TAEGIS' && ('response_approved' in assetTags(inputs))

事前対応アクションを実施したいすべての関連資産のタグKEYフィールドに、フィルターで指定したタグを追加する必要があります。

エンドポイントの一括タグ付け

複数のエンドポイント（すなわち資産）を一度に検索・タグ付けするには、エンドポイントエージェントサマリーのフィルタリングおよびタグ付け機能を使用してください。

• タグ付けしたい資産を選択するためにエンドポイントエージェントサマリーテーブルをフィルタリングする方法については、エンドポイントエージェントサマリーテーブルのフィルタを参照してください。

• 資産の一括タグ付けについては、複数エンドポイントの一括タグ付けを参照してください。