事前対応アクションの命名規則🔗
Secureworks® Taegis™ XDR では、お客様の環境でアクションに任意の名前を付けることができますが、事前対応アクションでは、Secureworks® Taegis™ MDR アナリストが迅速かつ明確、一貫してアクションを認識できるよう、特定の命名規則を使用する必要があります。下記のマトリクスは、各対応アクションに対して承認された命名規則を示しています。
| 事前対応アクション | 命名規則 |
|---|---|
| Taegis Agent ホスト隔離 | MXDR_ISOLATE |
| Red Cloak ホスト隔離 | MXDR_ISOLATE |
| Carbon Black ホスト隔離 | MXDR_ISOLATE |
| Crowdstrike ホスト隔離 | MXDR_ISOLATE |
| Microsoft Defender ATP ホスト隔離 | MXDR_ISOLATE |
| SentinelOne ホスト隔離 | MXDR_ISOLATE |
| Taegis Agent ホストリストア | MXDR_RESTORE |
| Red Cloak ホストリストア | MXDR_RESTORE |
| Carbon Black ホストリストア | MXDR_RESTORE |
| Crowdstrike ホストリストア | MXDR_RESTORE |
| Microsoft Defender ATP ホストリストア | MXDR_RESTORE |
| SentinelOne ホストリストア | MXDR_RESTORE |
| Taegis™ NDR (iSensor) IPブロック | M_iSensorBlock |
| Taegis™ NDR (iSensor) IPブロック解除 | M_iSensorUnBlock |
| Azure AD ユーザー無効化 | M_DISUSER |
| Azure AD ユーザー有効化 | M_ENUSER |
| Azure AD パスワードリセット強制 | M_PASSRESET |
| AWS ユーザーログイン無効化 | M_AWSdisuser |
| AWS ユーザーログイン有効化 | M_AWSenuser |
| AWS ユーザーアクセスキー無効化 | M_AWSAccessKeyDis |
| AWS ユーザーアクセスキー有効化 | M_AWSAccessKeyEn |
| AWS ユーザーMFAデバイス無効化 | M_AWSmfaDis |
このフォーマットにより、Taegis MDR アナリストは、リクエストされたアクションが事前対応アクションであることを認識できます。
さまざまなプレイブック設定の詳細な例については、以下をご覧ください。
XDR で事前対応アクションを承認する🔗
事前対応アクション用の必要なプレイブックを設定した後、テナント管理者 ロールのユーザーがこの機能を有効にするために、事前対応アクションを承認する必要があります。事前対応アクションを承認するには、以下の手順に従ってください。
- Taegis Menu から テナント設定 > サブスクリプション を選択します。
- 事前対応アクション ボタンを切り替えて 承認済み にします。
- 承認 を選択してアクションを確定します。
- 事前対応アクションのために作成済み、または今後作成するすべてのプレイブックについて、アナリストが承認なしでお客様に代わってアクションを実行できるようにする場合は、そのプレイブックで事前対応を有効にしてください。
重要
必要なプレイブックをまだ設定していない状態で事前対応アクションボタンを 承認済み に切り替えた場合、アナリストはお客様に代わってアクションを実行できません。アクションは必ずプレイブックで定義する必要があります。
すべての必要な手順が完了すると、テナント設定→サブスクリプション の下に以下が表示されます。
- 承認済み事前対応アクション
- 設定済み事前対応アクション(プレイブック)
この時点で、Taegis MDR アナリストは、お客様が作成したプレイブックに基づき、指定した資産に対してアクションを実行できるようになります。