CTPからXDRへの移行

注意

Taegis NDRはiSensorの進化版であり、新しい名称とまもなく拡張される機能を備えています。この移行期間中、一部でiSensorのブランド名が参照されている場合があります。

Taegis™ NDRの詳細については、Taegis™ NDRの概要をご覧ください。

Counter Threat Platform（CTP）からSecureworks® Taegis™ XDRへ移行されるお客様向けに、本ドキュメントでは、CTPクライアントポータルで以前実施していた一般的なタスクの実行方法や情報の探し方、ならびにTaegisアップグレードに関するその他の有用なガイダンスを提供します。

一般的なタスク

NDR Deviceの正常性の確認

お客様のNDR Deviceの正常性を確認するには、Taegis Menuからインテグレーション → Taegis™ NDRを選択してください。詳細については、NDR Deviceのステータスと正常性の表示をご覧ください。

重大な検知の確認

• 検知のダッシュボードビューについては、Taegis Menuからダッシュボード > 検知トリアージを選択してください。詳細は検知トリアージダッシュボードをご覧ください。
• 検知のテーブルビューについては、Taegis Menuから検知を選択してください。詳細は検知をご覧ください。

セキュリティインシデントではなくケースの確認と対応

CTPにおけるセキュリティインシデントは、XDRではケースに相当します。ケースを確認・対応するには、Taegis Menuからケースを選択してください。詳細はケースの対応をご覧ください。

また、検知トリアージダッシュボードのRecent Casesウィジェットから最新のケースを確認できます。詳細はRecent Casesをご覧ください。

検知およびイベントの検索

Data Lake Searchを利用して、必要なデータを検索するクエリを作成できます。詳細はデータレイク検索をご覧ください。

検索クエリの保存と取得

よく利用する検索クエリを保存して、必要なデータを簡単に見つけることができます。検索の保存、表示、実行方法については、保存済みのクエリをご覧ください。

CTUリサーチへのアクセス

検知トリアージダッシュボードのThreat Intelligence Reportsウィジェットから、Secureworks Counter Threat Unit™ (CTU)リサーチチームによる最新のリサーチや発見事項を確認できます。詳細はThreat Intelligence Reportsをご覧ください。

レポートリソースの検索

テンプレートからレポートを作成

XDRのレポートはCTPクライアントポータルのレポートとは多少異なりますが、これまで収集していた多くのデータを確認できます。

Taegis™ NDR変更管理レポートテンプレートやSecureworks® Taegis™ XDRユーザー管理サマリーレポートテンプレートなど、複数のレポートテンプレートが利用可能です。これらおよび他のテンプレートの詳細については、テンプレートからレポートを作成をご覧ください。

CTPポータルのアクティビティレポートの代わりに、XDRのテナント設定内にある監査ログを確認できます。詳細は監査ログをご覧ください。

カスタムレポートの作成

詳細検索クエリを基に、カスタムレポートの作成・実行・スケジューリングが可能です。詳細はカスタムレポートの設定をご覧ください。

CTPクライアントポータルのレポートと同様のデータを用いたカスタムレポート作成例については、レポートに関するFAQをご覧ください。

FAQ

一般

「Managed iSensorからXDRへのアップグレード」とは何ですか？

Secureworks®は既存のSecureworks® Managed iSensor®サブスクリプションをアップグレードしています。お客様のManaged iSensorサービスは、Secureworks Counter Threat Platform™（CTP）からTaegis™ NDR on Secureworks® Taegis™ XDRへ移行されます。

このアップグレードによる影響は何ですか？

このアップグレードによる既存サブスクリプションの変更はありません。CTPと同様に、NDRサービスをTaegis上で引き続きご利用いただけます。Taegis™ NDRサービス説明をご参照ください。現在のSecureworksとの契約の財務条件に変更はありません。

このアップグレードのメリットは何ですか？

Taegisへのアップグレードのメリットは以下の通りです：

• CTU™のヒントと脅威分析 — XDRには、Counter Threat Unit™リサーチチームによる脅威インテリジェンスレポートやガイダンスが含まれます。
• 高度な分析 — NDRはテレメトリーを継続的に収集し、Domain Generation Algorithms、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs™ Detector、Punycode、IP Watchlist、Domain Watchlistなど、さまざまなXDR検知機に活用します。
• MITRE ATT&CKマッピング — XDRは、MITREで追跡されている不正ソフトウェアが用いる全戦術・技術・手順（TTP）の90%以上に対して、防御策や対策をマッピングします。
• 高度なクエリ言語サポート — 検知やイベントを検索するための強力なインターフェースを提供します。
• カスタム検出ルール — 特定の条件を検知するカスタムルールを作成できます。
• カスタム抑止ルール — 環境にとって無害な検知を抑止することで、プラットフォームをお客様専用にカスタマイズできます。
• エキスパートへの質問 — XDRは24時間365日ライブチャット機能を提供し、Secureworksのセキュリティエキスパートに直接アクセスできます。
• XDRへのアクセス — Secureworksの次世代プラットフォームにシームレスに移行し、より広範な環境を保護できます。

アップグレードを受けるために必要な手続きは何ですか？

Secureworksはお客様のXDRアカウントを設定済みです。taegis@secureworks.comから受信したメールに記載されたリンクを使用して、XDRにログインし、パスワードと多要素認証を設定してください。メールを受信していない場合は、taegis@secureworks.comまでご連絡ください。

CTPへのアクセスは引き続き可能ですか？

いいえ。Secureworksは、お客様の会社の最初の担当者がTaegisに正常に登録してから24～48時間以内にCTPへのアクセスを無効化します。まだ登録されていない場合は、できるだけ早くご登録ください。すべてのManaged iSensorのお客様はXDRへ移行されます。

これまでと同じレベルのサービスを受けられますか？

はい。Secureworks® Taegis™へのアップグレード後も、Secureworksはデバイス管理機能（変更、ルール/ポリシーの修正、アップグレード等）をリクエストに応じて継続して実施します。また、セキュリティイベントの監視・検知も行います。詳細はTaegis™ NDRサービス説明をご覧ください。

Secureworks Counter Threat Platform内のイベントデータはXDRに移行されますか？

テナント作成前のiSensorイベントデータはCTPのみに保存されており、XDRには統合できません。テナント作成以降のイベントデータはXDR内で検索可能です。CTPから過去のSecureworks Managed iSensorイベントが必要な場合は、XDRでヘルプリクエストを提出いただければ、過去のレポートを提供可能です。

デバイス設定は変更されましたか？

いいえ。デバイス設定はCTPと同様にXDRでも維持されます。

XDRに、NDRサブスクリプションの範囲外と思われる項目が表示されています。詳細を知るには？

現在のサービスはNDRのみをベースとしています。他のデータソースを追加したり、エージェントを展開した場合は追加料金が発生する場合があります。NDR契約以外にXDRが提供する内容については、アカウントマネージャーまでお問い合わせください。

XDRにログインした際、Secureworks Counter Threat Platform（CTP）へのアクセスはどうなりますか？

お客様または組織内の他の担当者がXDRに正常に登録すると、Secureworksはそのログインをもってサービス受領の意思表示とみなします。CTPへのアクセス（すべてのCTPユーザーを含む）は、XDRへのログインから24～48時間以内に停止されます。他のユーザーも継続的にアクセスできるよう、速やかに登録を完了してください。

CTPからXDRへのロールの変更は？

以下の表は、各ユーザーのCTPロールに基づき、XDRロールをどのように割り当てたかを示しています。

| CTPロール | XDRロール |

| :--- | :--- | | Admin | テナント管理者 | | service-entitlements | N/A | | TI User | N/A | | Infrastructure | テナント監査役 | | Scan_SSO_Exposures | N/A | | Scan_SSO | N/A | | Auditor | テナント監査役 | | CarbonBlack User | N/A | | Threat Intelligence Analyst | テナントアナリスト | | Security | テナントアナリスト | | ETDR User | N/A | | API User | N/A | | SCAN User | N/A | | Provisioning Automation User | N/A | | Log Retention | N/A | | Analyst | テナントアナリスト | | User Admin | テナント管理者 | | TICE PUBLIC API USER | N/A | | Foresee User | N/A | | TICE Application User | N/A |

CTPからXDRへの移行に興味がありません。オプトアウトできますか？

お客様のManaged iSensorサブスクリプションは、既存契約期間中、CTPからNDR on XDRへアップグレードされます。詳細はアカウントマネージャーまでお問い合わせください。オプトアウトはできません。

XDRの利用

XDRへのログイン方法は？

taegis@secureworks.comからの通知メールに、XDRへのログインおよびパスワード設定用リンクが記載されています。メールを受信していない場合は、taegis@secureworks.comまでご連絡ください。詳細はXDRへのログインをご覧ください。通知メール内のリンクは正しいXDRテナントへ誘導されます。

サポートを受けるには、アプリケーション内に記載されているPINが必要です。詳細はSecureworks® Taegis™ MDR電話サポートをご覧ください。

XDRにログインした際、ダッシュボードが空白です。移行が正常に完了したか確認するには？

XDRは誤検知が少なく設計されています。ダッシュボードは、XDRが高または重大と分類した検知やケースが表示されるまで空白のままです。高または重大度の検知が作成されると、自動的にケースが作成されます。検知が真のポジティブまたは組織にとって対応が必要な脅威である場合のみ、ケースがお客様のチームにエスカレーションされます。

XDRでは、詳細検索を活用して検知をクエリできます。詳細は「NDRデータの確認方法」をご覧ください。また、「XDRでのカスタムルールのサポート方法」でカスタム検知の作成方法、「NDR Deviceの正常性情報の取得方法」でNDR Deviceの確認と移行成功の確認方法を参照してください。

イベント、検知、ケースの違いは何ですか？

イベントは、ネットワーク上で発生した単一のセキュリティ関連事象です。

検知は、検知機からのイベントに基づき、さらなる調査が必要なアクティビティを通知するXDR内の通知です。

ケースは、XDRで確認された検知やイベントに関連する情報を集約するために使用されます。

NDR Deviceの正常性情報の取得方法は？

NDR DeviceはXDRのインテグレーション内に表示されます。Taegis Menuからインテグレーション → NDR Devicesを選択してください。NDR Deviceと正常性ステータスが表示されます。詳細はNDR Deviceの管理をご覧ください。

NDRデータの確認方法は？

NDRデータは、XDRの詳細検索で確認できます。以下はクエリ例です：

FROM nids WHERE sensor_type='ISENSOR'

XDRでのデータ検索の詳細は、データレイク検索をご覧ください。

CTPで通知されていた情報が通知されないのはなぜですか？

XDRは、重大および高レベルのイベントのみを検知するように調整・設計されています。そのため、CTPよりもエスカレーション件数が少なくなることが想定されます。イベントデータは将来の参照やコンプライアンス要件のためにXDR内で利用可能です。

CTPのカスタムMPLEルールは移行されません。イベントデータはXDR検知機で処理され、検知が生成されます。特定のイベントで通知を受けたい場合は、カスタム検知を作成できます。Secureworksはお客様が作成した検知についてケースのレビューは行いません。詳細は次の質問をご覧ください。

XDRでのカスタムルールのサポート方法は？

XDRでは、カスタムルールを作成し、設定した特定の条件が検知された際に通知を受けることができます。この機能により、カスタマイズされたルールを作成可能です。カスタマイズ内容はお客様ごとに大きく異なるため、アナリストがカスタムルールを監視することはできません。該当する検知の管理には、社内リソースやプロセスが必要です。

Secureworksは、環境内で検知されたセキュリティイベントについてどのように連絡しますか？

即時のインシデント対応が必要な重大インシデントの場合、Secureworksアナリストは以下を実施します：

• ケースをXDR内でお客様に割り当てます。

• XDRを通じて、登録済みのすべてのXDRユーザーにケース作成の通知メールを送信します。また、XDR内にも通知が表示されます。

• お客様が指定した最大3名の連絡先に電話連絡します。

重大でないインシデントの場合、SecureworksアナリストはXDR内で通知およびメールを送信しますが、指定連絡先への電話は行いません。

XDRのケースの詳細は、ケースの対応をご覧ください。

以前設定したエスカレーション手順はどうなりますか？セキュリティや正常性イベントの連絡方法は？

XDRに登録後、テナント管理者であれば、エスカレーション用の連絡先を更新できます。テナント設定のテナントプロファイルをクリックし、電話連絡が必要な場合の通知先として最大3名まで追加できます。Taegis Menuのプロフィールアイコンからプロファイルの設定でロール設定も確認可能です。テナントプロファイルセクションではネットワーク範囲やネットワーク情報も入力できます。詳細はテナントプロファイルをご参照ください。支援が必要な場合は、チャット機能やサポートチケットを利用し、現在のエスカレーション手順の確認を依頼できます。

NDR Deviceが環境に干渉している疑いがある場合の対応方法は？

NDR Deviceがネットワーク干渉を引き起こしている場合、物理的に取り外すことなくバイパスモードを利用できます。チャットまたはサポートチケットから製品サポートに連絡し、適切なバイパスモードの判定・有効化についてご相談ください。

NDR Deviceアプライアンスは、以下2種類のバイパスモードに設定可能です：

• ソフトウェア — NDR Deviceに入るトラフィックがインスペクションエンジンで評価されるのを防ぎます。
• ハードウェア — デバイス障害時にも監視インターフェース経由でデータ転送を保証します。

Secureworksがセキュリティ環境でカスタム抑止ルールを使用しているのはなぜですか？

Secureworksは、サービスと顧客体験の継続的な向上のため、XDRを随時アップデートしています。XDRのお客様には、低価値な検知を最小化し、高価値な検知に集中できるよう、カスタム抑止ルールやイベントフィルターの変更、検知のチューニングが適用される場合があります。

CTPで行っていた一般的なタスクをXDRで実施する方法は？

CTPのタスクに相当するXDRでの主要タスクの実施方法については、一般的なタスクをご覧ください。

XDRにモバイルアプリはありますか？

XDRはプログレッシブウェブ技術をサポートしています。詳細はXDRモバイルアプリをご覧ください。

XDRで自動化によるタスク実行は可能ですか？

チケット連携のためにAPIを利用しているCTPのお客様は、登録前に自動化の概要およびAutomation GraphQL APIの利用をご確認いただき、XDRプラットフォームで新たなプロセスを構築する方法をご理解ください。XDRは、PagerDutyやAtlassian Jiraなどのサードパーティベンダーやお客様所有ツールを通じて自動検知も提供可能です。

XDRで自動化できる主なタスク例：

• 他のチケットシステムを通じたチケットの作成・クエリ
• カスタムメールやインスタントメッセージ通知の作成
• 検知の管理
• レスポンスアクション
• ケース作成などの繰り返し作業

詳細は自動化の概要、サポートされているプレイブック、サポートされているコネクターをご覧ください。

NDR DeviceのBlock（Shun）およびAllow（Trust）機能をXDRで実施する方法は？

NDR DeviceにBlockおよびAllowルールを追加するには、Taegis MenuからTaegis™ NDRを選択してください。詳細はAllowおよびBlockタブをご覧ください。

また、自動化を通じてBlockおよびAllowアクションを実行することも可能です。詳細は自動化の概要および以下のナレッジベース記事をご覧ください。

サポートの受け方は？

XDRサポートへの連絡方法：

• アプリ内チャットサポート
• チケットの提出
• Secureworks® Taegis™セキュリティオペレーションセンターへの電話

以前の電話番号は利用できますか？

いいえ。TaegisはCTPとは別にサポートされています。サポートを受けるには、XDR内で確認できるPINが必要です。PINを用意のうえ、XDR製品サポート担当者にお電話ください。サポート電話番号が不明な場合は、Taegis Taegis MDR電話サポートをご覧ください。

チャットサポートで問題が発生しています。解決方法は？

アプリ内XDRチャットサポートの利用方法はTaegisチャットをご覧ください。引き続き問題がある場合は、ヘルプリクエストを提出してください。

チケットの確認方法は？

チケットに更新があるたびに、taegis@secureworks.comから通知メールが届き、手順やTaegisへのログインリンクが記載されています。https://delta.taegis.secureworks.com/loginにアクセスしてください。

まれにhttps://ctpx.secureworks.com/loginにリダイレクトされる場合があります。その場合はhttps://delta.taegis.secureworks.com/loginに再度アクセスしてください。

追加の支援が必要な場合は、taegis@secureworks.comまでご連絡ください。

レポート

エグゼクティブサマリーレポート、検出の概要レポート、ケースの概要レポート、Taegis™ NDR変更管理レポートのテンプレートが事前に用意されており、CTPレポートの多くの機能を網羅しています。詳細はテンプレートからレポートを作成をご覧ください。

XDRで他のレポートを作成する方法は？

利用可能なレポートテンプレートに加え、XDRの詳細検索クエリ言語を用いてカスタムレポートを作成できます。詳細はカスタムレポートの設定およびクエリエディターをご覧ください。

コンプライアンスボードレポート

エグゼクティブサマリーおよび検出の概要レポートでNDR Deviceの可視化が可能ですが、CTPコンプライアンスレポートのすべての項目がXDRで利用できるわけではありません。その他のレポートやグラフについては、以下のXDRクエリを詳細検索から実行できます：

• 監視インシデント対イベントボリューム比 — 同等のビューはありません。
• 重大度およびアクション別攻撃イベント — 同等のビューはありません。

アクション別IPS/IDS攻撃イベント合計

• 検索クエリ — FROM nids
• レポートオプション — 円グラフ
• チャートデータカテゴリ — Blocked
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

日別IPS/IDS攻撃イベント合計

• 検索クエリ — FROM nids
• レポートオプション — 棒グラフ
• チャート軸 — X軸：Timestamp、Y軸：Total Count
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

日別その他監視攻撃イベント合計

検索クエリ — FROM detection WHERE sensor_types !in ('isensor', 'yourSensorType')

ここで yourSensorType は除外したいセンサータイプです。

• 表示するクエリ結果の列 — Timestamp
• レポートオプション — 棒グラフ
• チャート軸 — X軸：Timestamp、Y軸：Total Count
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

IPS/IDS承認済みアクティビティ

注意

このレポートの形式は、すべての行項目を含むCSVファイルです。

• 検索クエリ — FROM detection WHERE status CONTAINS 'Authorized' AND sensor_types = 'isensor'
• レポートオプション — レポート生成時にデータCSVファイルを含める のチェックボックスを選択。グラフタイプは選択しないでください。
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

監視済み承認アクティビティ

注意

このビューに含めたい各sensor_typeを把握しておく必要があります。isensorはAppendix Cビューでカバーされているため含めないでください。

• 検索クエリ — FROM detection WHERE status CONTAINS 'Authorized' AND sensor_types in ( 'yourSensorType', 'yourOtherSensorType')

ここで 'yourSensorType' および 'yourOtherSensorType' は対象とするセンサータイプです。

• レポートオプション — レポート生成時にデータCSVファイルを含める のチェックボックスを選択。グラフタイプは選択しないでください。
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

上記レポートに付随して利用できるクエリ例：

攻撃サマリー

• 検索クエリ — FROM nids
• 可視化タイプ — 円グラフ
• チャートデータカテゴリ — Blocked
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

攻撃対象ポート

• 検索クエリ — FROM nids
• 可視化タイプ — 横棒グラフ
• チャート軸 — X軸：Total Count、Y軸：DESTINATION_PORT
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

上位攻撃

• 検索クエリ — FROM detection
• 可視化タイプ — 横棒グラフ
• チャート軸 — X軸：Total Count、Y軸：Title
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

Blocked/Unblocked攻撃トレンド

注意

Blockedフィールドは、1=NotBlocked、2=Blocked、3=WouldHaveBlocked のいずれかの数値を持ちます。

• 検索クエリ — FROM nids
• 可視化タイプ — 棒グラフ（積み上げ）
• チャート軸 — X軸：Timestamp、Y軸：Total Count、系列：Blocked
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

セキュリティイベントレポート

攻撃トレンド

注意

このレポートの内容はお客様の設定によって異なります。提供されたクエリがベースとなりますが、ニーズに応じてフィルタ条件を追加してください。where句を追加し、レポートで絞り込みたいフィールドを含めることができます。

• 検索クエリ — FROM detection
• レポートオプション — 棒グラフ
• チャート軸 — X軸：Timestamp、Y軸：Total Count
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

エグゼクティブサマリーレポート

以下はエグゼクティブサマリーレポートの例で、次の4つのレポートで構成されます：

攻撃サマリー

• 検索クエリ — FROM nids
• 可視化タイプ — 円グラフ
• チャートデータカテゴリ — Blocked
• スケジュール — ユーザー設定
• レポート名と共有 — 必要に応じて設定

攻撃対象ポート

• 検索クエリ — FROM nids
• 可視化タイプ — 横棒グラフ
• チャート軸 — X軸：Total Count、Y軸：DESTINATION_PORT
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

上位攻撃

• 検索クエリ — FROM detection
• 可視化タイプ — 横棒グラフ
• チャート軸 — X軸：Total Count、Y軸：Title
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

Blocked/Unblocked攻撃トレンド

注意

Blockedフィールドは、1=NotBlocked、2=Blocked、3=WouldHaveBlocked のいずれかの数値を持ちます。

• 検索クエリ — FROM nids
• 可視化タイプ — 棒グラフ（積み上げ）
• チャート軸 — X軸：Timestamp、Y軸：Total Count、系列：Blocked
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

CTPレポートのうち、XDRで利用できないものもあります。主なものは以下の通りです：

• ポータルアクティビティ — このレポートはXDRで利用できませんが、Taegis™ NDRおよび監査ログで多くの情報を確認できます。
• 資産レポート
• サービスレビュー
• デバイスイベントトレンド
• イベント分析統計
• トップトーカーズレポート
• チケットサマリーおよび詳細