CTPからXDRへの移行

注意

Taegis NDRはiSensorの進化版であり、新しい名称とまもなく拡張される機能を備えています。この移行期間中、一部でiSensorのブランド名が参照されている場合があります。

Taegis™ NDRの詳細については、Taegis™ NDRの概要をご覧ください。

Counter Threat Platform（CTP）からSecureworks® Taegis™ XDRへ移行されるお客様向けに、本ドキュメントでは、CTPクライアントポータルで行っていた一般的なタスクの実施方法や情報の探し方、ならびにTaegisアップグレードに関するその他の有用なガイダンスを提供します。

一般的なタスク

NDR Deviceの正常性の確認

お客様のNDR Deviceの正常性を確認するには、Taegis Menuからインテグレーション → Taegis™ NDRを選択してください。詳細は、NDR Deviceのステータスと正常性の表示をご覧ください。

重大な検知の確認

• 検知のダッシュボードビューについては、Taegis Menuからダッシュボード > 検知トリアージを選択してください。詳細は、検知トリアージダッシュボードをご覧ください。
• 検知のテーブルビューについては、Taegis Menuから検知を選択してください。詳細は、検知をご覧ください。

セキュリティインシデントではなくケースの確認と対応

CTPにおけるセキュリティインシデントは、XDRではケースに相当します。ケースを確認・対応するには、Taegis Menuからケースを選択してください。詳細は、ケースの対応をご覧ください。

また、検知トリアージダッシュボードのRecent Casesウィジェットから、最新のケースを確認できます。詳細は、Recent Casesをご覧ください。

検知およびイベントの検索

詳細検索を利用して、必要なデータを検索するクエリを作成できます。詳細検索には、ビルダーとクエリ言語の2つのオプションがあります。詳細は、詳細検索ビルダーおよび詳細検索クエリ言語をご覧ください。

検索クエリの保存と呼び出し

定期的に使用する検索クエリを保存することで、必要なデータをより簡単に見つけることができます。検索の保存、表示、実行方法については、保存済み検索をご覧ください。

CTUリサーチへのアクセス

検知トリアージダッシュボードのThreat Intelligence Reportsウィジェットから、Secureworks Counter Threat Unit™ (CTU)リサーチチームによる最新のリサーチや発見事項を確認できます。詳細は、Threat Intelligence Reportsをご覧ください。

レポートリソースの検索

テンプレートからレポートを作成

XDRのレポートは、CTPクライアントポータルのレポートとは多少異なりますが、これまで収集していた多くのデータを確認できます。

Taegis™ NDRの変更管理レポートテンプレートや、Secureworks® Taegis™ XDRのユーザー管理サマリーレポートテンプレートなど、複数のレポートテンプレートが利用可能です。これらおよび他のテンプレートの詳細については、テンプレートからレポートを作成をご覧ください。

CTPポータルのアクティビティレポートの代わりに、XDRのテナント設定内にある監査ログを確認できます。詳細は、監査ログをご覧ください。

カスタムレポートの作成

詳細検索クエリを基に、カスタムレポートの作成・実行・スケジューリングが可能です。詳細は、カスタムレポートの設定をご覧ください。

CTPクライアントポータルのレポートと同様のデータを含むカスタムレポートを詳細検索クエリで作成する例については、レポートに関するFAQをご覧ください。

FAQ

一般

「Managed iSensorからXDRへのアップグレード」とは何ですか？

Secureworks®は、既存のSecureworks® Managed iSensor®サブスクリプションをアップグレードしています。お客様のManaged iSensorサービスは、Secureworks Counter Threat Platform™（CTP）からTaegis™ NDR on Secureworks® Taegis™ XDRへ移行されます。

この変更はお客様にどのような影響がありますか？

このアップグレードによる既存サブスクリプションの変更はありません。CTPと同様に、NDRサービスをTaegis上で引き続きご利用いただけます。Taegis™ NDRサービス説明をご参照ください。現在のSecureworksとの契約の財務条件に変更はありません。

このアップグレードの利点は何ですか？

Taegisへのアップグレードの利点は以下の通りです。

• CTU™のヒントと脅威分析 — XDRには、Counter Threat Unit™リサーチチームによる脅威インテリジェンスレポートやガイダンスが含まれます。
• 高度な分析 — NDRは、テレメトリーを継続的に収集し、Domain Generation Algorithms、Rare Program to Rare IP、Stolen Credentials、Tactic Graphs™ Detector、Punycode、IP Watchlist、Domain Watchlistなど、さまざまなXDR検知機にデータを提供します。
• MITRE ATT&CKマッピング — XDRは、MITREで追跡されている不正なソフトウェアが使用する全TTP（戦術・技術・手順）の90%以上に対して、防御策や対策をマッピングします。
• 高度なクエリ言語サポート — 検知やイベントを検索するための強力なインターフェースを提供します。
• カスタム検出ルール — 特定の条件を検知するカスタムルールを作成できます。
• カスタム抑止ルール — 環境にとって無害な検知を抑止することで、プラットフォームをお客様専用にカスタマイズできます。
• エキスパートへの質問 — XDRは、24時間365日利用可能なライブチャット機能を提供し、Secureworksのセキュリティエキスパートに直接アクセスできます。
• XDRへのアクセス — Secureworksの次世代プラットフォームにシームレスに移行し、より広範な環境を保護できます。

アップグレードを受けるために必要な手続きはありますか？

Secureworksは、お客様のXDRアカウントを設定済みです。taegis@secureworks.comから受信したメールに記載されたリンクを使用して、XDRにログインし、パスワードと多要素認証を設定してください。メールを受信していない場合は、taegis@secureworks.comまでご連絡ください。

CTPへのアクセスは引き続き可能ですか？

いいえ。お客様の会社の最初の担当者がTaegisに正常に登録してから24～48時間以内に、SecureworksはCTPへのアクセスを無効化します。まだ登録されていない場合は、できるだけ早くご登録ください。すべてのManaged iSensorのお客様は、XDRへ移行されます。

これまでと同じレベルのサービスを受けられますか？

はい。Secureworks® Taegis™へのアップグレード後も、Secureworksはデバイス管理機能（変更、ルール/ポリシーの修正、アップグレード等）をリクエストに応じて引き続き実施します。また、セキュリティイベントの監視および検知も行います。詳細は、Taegis™ NDRサービス説明をご覧ください。

Secureworks Counter Threat Platform内のイベントデータはXDRに移行されますか？

テナント作成前のiSensorイベントデータはCTPのみに存在し、XDRには統合できません。テナント作成以降のイベントデータは、XDR内で検索可能です。CTPから過去のSecureworks Managed iSensorイベントが必要な場合は、XDRでヘルプリクエストを提出いただければ、過去のレポートを提供可能です。

デバイス設定は変更されましたか？

いいえ。デバイス設定は、CTPと同様にXDRでも変更ありません。

XDRに、NDRサブスクリプションの範囲外と思われる項目が表示されています。詳細を知るには？

現在のサービスはNDRのみをベースとしています。他のデータソースを追加したり、エージェントを展開した場合は、追加料金が発生する場合があります。NDR契約に加えてXDRが提供する内容については、アカウントマネージャーまでお問い合わせください。

XDRにログインした際、Secureworks Counter Threat Platform（CTP）へのアクセスはどうなりますか？

お客様または組織内の他の担当者がXDRに正常に登録すると、Secureworksはそのログインをもって、XDRでのサービス提供準備が整ったとみなします。CTPへのアクセス（すべてのCTPユーザーを含む）は、XDRへのログインから24～48時間以内に停止されます。他のユーザーも継続的にアクセスできるよう、速やかに登録を完了してください。

CTPからXDRへのロールの変更は？

以下の表は、各ユーザーのCTPロールに基づき、XDRロールをどのように割り当てたかを示しています。

| CTPロール | XDRロール |

| :--- | :--- | | Admin | テナント管理者 | | service-entitlements | N/A | | TI User | N/A | | Infrastructure | テナント監査役 | | Scan_SSO_Exposures | N/A | | Scan_SSO | N/A | | Auditor | テナント監査役 | | CarbonBlack User | N/A | | Threat Intelligence Analyst | テナントアナリスト | | Security | テナントアナリスト | | ETDR User | N/A | | API User | N/A | | SCAN User | N/A | | Provisioning Automation User | N/A | | Log Retention | N/A | | Analyst | テナントアナリスト | | User Admin | テナント管理者 | | TICE PUBLIC API USER | N/A | | Foresee User | N/A | | TICE Application User | N/A |

CTPからXDRへの移行を希望しません。オプトアウトできますか？

お客様のManaged iSensorサブスクリプションは、既存契約期間中、CTPからNDR on XDRへアップグレードされます。詳細はアカウントマネージャーまでお問い合わせください。オプトアウトはできません。

XDRの利用

XDRへのログイン方法は？

taegis@secureworks.comからの通知メールに、XDRへのログインリンクとパスワード設定方法が記載されています。メールを受信していない場合は、taegis@secureworks.comまでご連絡ください。詳細は、XDRへのログインをご覧ください。通知メールのリンクは、正しいXDRテナントに誘導されます。

サポートを受けるには、アプリケーション内に記載されているPINが必要です。詳細は、Secureworks® Taegis™ MDR電話サポートをご覧ください。

XDRにログインした際、ダッシュボードが空白です。移行が正常に完了したかどうかはどう確認できますか？

XDRは誤検知が少なく設計されています。ダッシュボードは、XDRが高または重大と分類した検知やケースが表示されるまで空白のままです。高または重大な重大度の検知が作成されると、自動的にケースが作成されます。検知が真のポジティブまたはお客様組織にとって対応が必要な脅威である場合のみ、ケースがエスカレーションされます。

XDRでは、詳細検索を活用して検知を検索できます。詳細は「NDRデータの確認方法」をご覧ください。また、カスタム検知の作成については「XDRでのカスタムルールのサポート方法」、NDR Deviceの正常性情報の確認については「NDR Deviceの正常性情報の取得方法」をご参照ください。

イベント、検知、ケースの違いは何ですか？

イベントは、ネットワーク上で発生した単一のセキュリティ関連事象です。

検知は、検知機からのイベントに基づき、さらなる調査が必要なアクティビティを通知するためにXDRで作成される通知です。

ケースは、XDRで確認された検知やイベントに関連する情報を集約するために使用されます。

NDR Deviceの正常性情報の取得方法は？

NDR Deviceは、XDRのインテグレーション内に表示されます。Taegis Menuからインテグレーション → NDR Devicesを選択してください。NDR Deviceとその正常性ステータスが表示されます。詳細は、NDR Deviceの管理をご覧ください。

NDRデータの確認方法は？

NDRデータは、XDRの詳細検索で確認できます。以下はクエリ例です。

from NIDS where sensor_type='ISENSOR'

XDRでのデータ検索の詳細は、詳細検索をご覧ください。

CTPで通知されていた情報が、XDRでは通知されないのはなぜですか？

XDRは、重大および高レベルのイベントのみを検知するように調整・設計されています。そのため、CTPよりもエスカレーション件数が少なくなることが想定されます。イベントデータは、将来の参照やコンプライアンス要件のためにXDR内で利用可能です。

CTPのカスタムMPLEルールは移行されません。イベントデータはXDR検知機で処理され、検知が生成されます。特定のイベントで通知を受けたい場合は、カスタム検知を作成できます。Secureworksはお客様作成の検知についてケースのレビューは行いません。詳細は次の質問をご覧ください。

XDRでのカスタムルールのサポート方法は？

XDRでは、カスタムルールを作成し、設定した特定の条件が検知された際に通知を受けることができます。この機能により、カスタマイズされたルールを作成できます。カスタマイズ内容はお客様ごとに大きく異なるため、アナリストによるカスタムルールの監視は行いません。該当する検知の管理は、お客様の内部リソースおよびプロセスで対応してください。

Secureworksは、環境内で検知されたセキュリティイベントについてどのように連絡しますか？

即時のインシデント対応が必要な重大インシデントの場合、Secureworksアナリストは以下を実施します。

• XDRでお客様にケースを割り当てます。

• XDRを通じて、登録済みのすべてのXDRユーザーにケース作成の通知メールを送信します。また、XDR内にも通知が表示されます。

• お客様が指定した最大3名の連絡先に電話連絡します。

重大でないインシデントの場合、SecureworksアナリストはXDR内で通知およびメールを送信しますが、指定連絡先への電話は行いません。

XDRのケースの詳細は、ケースの対応をご覧ください。

以前に設定したエスカレーション手順はどうなりますか？セキュリティや正常性イベントの連絡方法は？

XDRに登録し、テナント管理者であれば、エスカレーション用の連絡先を更新できます。テナント設定のテナントプロファイルで、電話連絡が必要な場合の通知先を最大3件まで追加できます。Taegis Menuのプロファイルアイコンからプロファイルの設定でロール設定を確認できます。また、テナントプロファイルでネットワーク範囲やネットワーク情報も入力可能です。詳細はテナントプロファイルをご覧ください。支援が必要な場合は、チャット機能やサポートチケットから現在のエスカレーション手順の確認を依頼できます。

NDR Deviceが環境に干渉している疑いがある場合の対応方法は？

NDR Deviceがネットワークに干渉している場合、物理的に取り外すことなくバイパスモードを利用できます。適切なバイパスモードの判定・有効化については、チャットまたはサポートチケットから製品サポートにご連絡ください。

NDR Deviceアプライアンスは、以下2種類のバイパスモードに設定できます。

• ソフトウェア — NDR Deviceに入るトラフィックがインスペクションエンジンで評価されるのを防ぎます。
• ハードウェア — デバイス障害時にも監視インターフェース経由でデータが転送されることを保証します。

Secureworksが環境内でカスタム抑止ルールを使用しているのはなぜですか？

Secureworksは、サービスおよび顧客体験の継続的な向上のため、XDRを随時アップデートしています。XDRのお客様には、低価値の検知を最小化し、高価値の検知に集中できるよう、カスタマイズされた抑止ルールやイベントフィルターの変更、検知のチューニングが適用される場合があります。

CTPで行っていた一般的なタスクをXDRで実施する方法は？

CTPのタスクに相当するXDRでの主要タスクの実施方法については、一般的なタスクをご覧ください。

XDRにモバイルアプリはありますか？

XDRはプログレッシブウェブ技術をサポートしています。詳細は、XDRモバイルアプリをご覧ください。

XDRでタスクを自動化する機能はありますか？

現在APIを利用してチケット連携を行っているCTPのお客様は、登録前に自動化の概要およびAutomation GraphQL APIの利用をご確認いただき、XDRプラットフォームで新たなプロセスを構築する方法をご理解ください。XDRは、PagerDutyやAtlassian Jiraなどのサードパーティベンダーやお客様所有ツールを通じて、自動検知も提供可能です。

XDRで自動化できる主なタスク例：

• 他のチケットシステムを通じたチケットの作成・検索
• カスタムメールやインスタントメッセージ通知の作成
• 検知の管理
• 対応アクション
• ケース作成などの繰り返し作業

詳細は、自動化の概要、サポートされているプレイブック、サポートされているコネクターをご覧ください。

XDRでNDR DeviceのBlock（Shun）およびAllow（Trust）機能を実行する方法は？

NDR DeviceにBlockおよびAllowルールを追加するには、Taegis MenuからTaegis™ NDRを選択してください。詳細は、AllowおよびBlockタブをご覧ください。

また、自動化を通じてBlockおよびAllowアクションを実行することも可能です。詳細は、自動化の概要および以下のナレッジベース記事をご覧ください。

サポートの受け方は？

XDRサポートへの連絡方法：

• アプリ内チャットサポート
• チケットの提出
• Secureworks® Taegis™セキュリティオペレーションセンターへの電話

以前の電話番号は使えますか？

いいえ。TaegisはCTPとは別にサポートされています。サポートを受けるには、XDR内で確認できるPINが必要です。PINを用意してXDR製品サポート担当者にお電話ください。サポート電話番号が不明な場合は、Taegis Taegis MDR電話サポートをご覧ください。

チャットサポートで問題が発生しています。どうすれば解決できますか？

アプリ内XDRチャットサポートの利用方法は、Taegisチャットをご覧ください。引き続き問題がある場合は、ヘルプリクエストを提出してください。

チケットの確認方法は？

チケットに更新があるたびに、taegis@secureworks.comから通知メールが届き、手順とTaegisへのログインリンクhttps://delta.taegis.secureworks.com/loginが記載されています。

まれにhttps://ctpx.secureworks.com/loginにリダイレクトされる場合があります。その場合は、https://delta.taegis.secureworks.com/loginにアクセスしてください。

追加のサポートが必要な場合は、taegis@secureworks.comまでご連絡ください。

レポート

エグゼクティブサマリーレポート、検知サマリーレポート、ケースサマリーレポート、Taegis™ NDR変更管理レポートの事前構成済みテンプレートが現在利用可能で、CTPレポートの多くの機能を網羅しています。詳細は、テンプレートからレポートを作成をご覧ください。

XDRで他のレポートを作成する方法は？

利用可能なレポートテンプレートに加え、XDRの検索クエリ言語を使ってカスタムレポートを作成できます。詳細は、カスタムレポートの設定および詳細検索クエリ言語の概要をご覧ください。

コンプライアンスボードレポート

エグゼクティブサマリーおよび検知サマリーレポートでNDR Deviceの可視化が可能ですが、CTPコンプライアンスレポートのすべての要素がXDRで利用できるわけではありません。以下のXDRクエリを参考に、詳細検索から実行できる他のレポートやグラフをご確認ください。

• 監視インシデントとイベントボリューム比率 — 同等のビューはありません。
• 重大度およびアクション別攻撃イベント — 同等のビューはありません。

アクション別IPS/IDS攻撃イベント合計

• 検索クエリ — from nids
• レポートオプション — 円グラフ
• チャートデータカテゴリ — Blocked
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

日別IPS/IDS攻撃イベント合計

• 検索クエリ — from nids
• レポートオプション — 棒グラフ
• チャート軸 — X軸：Timestamp、Y軸：Total Count
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

日別その他監視攻撃イベント合計

検索クエリ — from detection where sensor_types !in ('isensor', 'yourSensorType')

ここで yourSensorTypeは除外したいセンサータイプです。

• 表示するクエリ結果の列 — Timestamp
• レポートオプション — 棒グラフ
• チャート軸 — X軸：Timestamp、Y軸：Total Count
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

IPS/IDS承認済みアクティビティ

注意

このレポートの形式は、すべての行項目を含むCSVファイルです。

• 検索クエリ — from detection where status contains 'Authorized' and sensor_types = 'isensor'
• レポートオプション — _レポート生成時にデータCSVファイルを含める_のチェックボックスを選択。グラフタイプは選択しないでください。
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

監視済み承認アクティビティ

注意

このビューに含めたい各sensor_typeを把握しておく必要があります。isensorはAppendix Cビューでカバーされているため含めないでください。

• 検索クエリ — from detection where status contains 'Authorized' and sensor_types in ( 'yourSensorType', 'yourOtherSensorType')

ここで 'yourSensorType'および'yourOtherSensorType'は対象とするセンサータイプです。

• レポートオプション — _レポート生成時にデータCSVファイルを含める_のチェックボックスを選択。グラフタイプは選択しないでください。
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

上記以外のレポートに付随して利用できるクエリ例：

攻撃サマリー

• 検索クエリ — from nids
• 可視化タイプ — 円グラフ
• チャートデータカテゴリ — Blocked
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

攻撃対象ポート

• 検索クエリ — from nids
• 可視化タイプ — 横棒グラフ
• チャート軸 — X軸：Total Count、Y軸：DESTINATION_PORT
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

上位攻撃

• 検索クエリ — from detection
• 可視化タイプ — 横棒グラフ
• チャート軸 — X軸：Total Count、Y軸：Title
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

Blocked/Unblocked攻撃トレンド

注意

Blockedフィールドには、1=NotBlocked、2=Blocked、3=WouldHaveBlockedのいずれかの数値が入ります。

• 検索クエリ — from nids
• 可視化タイプ — 棒グラフ（積み上げ）
• チャート軸 — X軸：Timestamp、Y軸：Total Count、系列：Blocked
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

セキュリティイベントレポート

攻撃トレンド

注意

このレポートの内容はお客様の設定によって異なります。提供されているクエリはベースであり、必要に応じてwhere句やフィルタリングしたいフィールドを追加してください。

• 検索クエリ — from detection
• レポートオプション — 棒グラフ
• チャート軸 — X軸：Timestamp、Y軸：Total Count
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

エグゼクティブサマリーレポート

以下はエグゼクティブサマリーレポートの例で、次の4つのレポートで構成されています。

攻撃サマリー

• 検索クエリ — from nids
• 可視化タイプ — 円グラフ
• チャートデータカテゴリ — Blocked
• スケジュール — ユーザー設定
• レポート名と共有 — 必要に応じて設定

攻撃対象ポート

• 検索クエリ — from nids
• 可視化タイプ — 横棒グラフ
• チャート軸 — X軸：Total Count、Y軸：DESTINATION_PORT
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

上位攻撃

• 検索クエリ — from detection
• 可視化タイプ — 横棒グラフ
• チャート軸 — X軸：Total Count、Y軸：Title
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

Blocked/Unblocked攻撃トレンド

注意

Blockedフィールドには、1=NotBlocked、2=Blocked、3=WouldHaveBlockedのいずれかの数値が入ります。

• 検索クエリ — from nids
• 可視化タイプ — 棒グラフ（積み上げ）
• チャート軸 — X軸：Timestamp、Y軸：Total Count、系列：Blocked
• スケジュール — 必要に応じて設定
• レポート名と共有 — 必要に応じて設定

XDRで利用できないCTPレポートもいくつかあります。主なものは以下の通りです。

• ポータルアクティビティ — このレポートはXDRでは利用できませんが、Taegis™ NDRおよび監査ログで多くの情報を確認できます。
• 資産レポート
• サービスレビュー
• デバイスイベントトレンド
• イベント分析統計
• トップトーカーズレポート
• チケットサマリーおよび詳細