タグを使用したエンドポイント事前対応ポリシーの設定

以下は、タグを使用して事前対応の隔離およびリストアアクションポリシーを設定する方法を示します。エンドポイントのタグ付けに関する詳細は、エンドポイントタグの追加と削除をご参照ください。

注意

Taegisアクションは、アクション設定で選択したエンドポイントエージェントを持つ、既存および今後追加されるすべての資産に適用されます。ただし、CEL構文でトリガーフィルターを入力してアクションが表示される条件を指定した場合は、その条件に従います。

特定の資産に対して事前対応の隔離およびリストアアクションを実施する、または逆に実施しないようにする場合は、該当する資産のタグKEYフィールドに追加したタグを使用して指定できます。

Taegis MDRの目的においては、お客様のニーズに最も効果的な任意の資産タグ付けスキーマを使用できます。ただし、資産管理およびタグ付けポリシーを定義する際には、以下の点を考慮してください。

重要

新しい資産が環境に追加または変更される際、継続的な資産管理およびタグ付けは、Taegis MDRサービスの一環として事前対応アクションが適切に処理されるために重要です。これはお客様の責任であり、弊社アナリストは新しい資産に関するお客様の意図を把握していません。

以下の2種類の一般的なポリシーがあります。

• デフォルトのオプトインポリシー
• デフォルトのオプトアウトポリシー

デフォルトのオプトインポリシー

ほとんどの資産に対して事前対応の隔離およびリストアアクションを実施し、一部の指定した資産にはアクションを実施しない場合、デフォルトのオプトインポリシーが最適です。このポリシーでは、大多数の資産に事前対応の隔離およびリストアアクションを提供し、指定したタグ付き資産を除外できます。

この方法では、MDRアナリストは、資産が事前対応アクション非承認として明示的にタグ付けされていない限り、事前対応の隔離およびリストアアクションを実施します。任意の種類や数のタグを使用できます。例：

• すべての役員用ノートパソコン資産には、タグKEYフィールドにVIP_no_responseタグを使用
• すべての重要インフラ資産には、タグKEYフィールドにcritical_no_responseタグを使用

これらの例のタグは、VIPや重要インフラ資産について、お客様の明示的な許可なしに事前対応アクションが実施されないことを指定しています。事前対応の隔離およびリストアアクションを実施したくないすべての資産にタグ付けが必要です。

関連するTaegisアクションを設定する際、有効化条件オプションで次の場合のみを選択し、トリガーフィルターに作成したタグを持つ特定資産に対して事前対応アクションが実施されないように条件を入力します。詳細は以下の例をご参照ください。

重要

このポリシーでは、タグ付けされていないすべての資産に事前対応の隔離およびリストアアクションが実施されます。このポリシーの利点は、新しい資産にもデフォルトで事前対応アクションが実施されるため、タグ付けを忘れた場合やタグ付け前でも対応できる点です。

例：事前対応の隔離およびリストアアクションを非承認とする資産へのタグ付け

Isolate HostおよびUnIsolate Hostアクションを、以下のトリガーフィルターで設定し、VIP_no_responseやcritical_no_responseなど、事前対応の隔離およびリストアアクションを実施したくない資産に作成したタグが存在しないことを確認します。お客様の環境に合わせてエンドポイントタイプを更新してください。

トリガーフィルター：inputs.asset.endpointType == 'ENDPOINT_TAEGIS' && !('VIP_no_response' in assetTags(inputs)) && !('critical_no_response' in assetTags(inputs))

アクションを実施したくないすべての関連資産のタグKEYフィールドに、フィルターで指定したタグを追加する必要があります。

注意

Secureworksが、以前に非承認としてタグ付けされた資産に重大な脅威があると判断した場合、電話でご連絡します。お客様の許可を得た後、Secureworksはその資産のタグを削除し、必要なアクション（例：MXDR_ISOLATE）を実施します。お客様が復旧作業を完了した後、必要に応じて再度タグを追加できます。

デフォルトのオプトアウトポリシー

ほとんどの資産に対して事前対応の隔離およびリストアアクションを実施せず、特定のタグ付き資産にのみアクションを実施したい場合は、デフォルトのオプトアウトポリシーが推奨されます。

この方法では、Taegis MDRアナリストは、資産が事前対応アクション承認として明示的にタグ付けされていない限り、事前対応の隔離およびリストアアクションを実施しません。事前対応アクションを実施したいすべての資産にタグ付けが必要です。 任意の種類や数のタグを使用できます。例：

• MDRアナリストに事前対応アクションを実施してほしい資産のタグKEYフィールドにresponse_approvedタグを追加

関連するTaegisアクションを設定する際、有効化条件オプションで次の場合のみを選択し、作成したタグを持つ特定資産にのみ事前対応の隔離およびリストアアクションが実施されるようにトリガーフィルターを入力します。詳細は以下の例をご参照ください。

重要

このポリシーでは、タグがない資産には事前対応の隔離およびリストアアクションは実施されません。この利点は、新しい資産が運用開始されてからタグ付けされるまでの間や、タグ付けを忘れた場合でも、デフォルトで事前対応アクションが実施されない点です。

例：事前対応の隔離およびリストアアクションを承認する資産へのタグ付け

Isolate HostおよびUnIsolate Hostアクションを、以下のトリガーフィルターで設定し、response_approvedなど、事前対応の隔離およびリストアアクションを実施したい資産に作成したタグが存在することを確認します。お客様の環境に合わせてエンドポイントタイプを更新してください。

トリガーフィルター：inputs.asset.endpointType == 'ENDPOINT_TAEGIS' && ('response_approved' in assetTags(inputs))

アクションを実施したいすべての関連資産のタグKEYフィールドに、フィルターで指定したタグを追加する必要があります。

エンドポイントの一括タグ付け

複数のエンドポイント（資産）を一度に検索・タグ付けするには、エンドポイントエージェントサマリーのフィルタリングおよびタグ付け機能を使用してください。

• タグ付けしたい資産を選択するためのエンドポイントエージェントサマリーテーブルのフィルタリング方法については、エンドポイントエージェントサマリーテーブルのフィルタをご参照ください。
• 資産の一括タグ付けについては、複数エンドポイントの一括タグ付けをご参照ください。