コンテンツにスキップ

詳細検索ビルダー🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

Secureworks® Taegis™ XDRの詳細検索ビルダーを使用すると、検出イベント を、演算子を選択し、検索を絞り込むためのフィールドを定義することで、お客様が定義したクエリに従って検索できます。

ビルダーにアクセスするには:

  1. Taegis Menuから詳細検索に移動します。

  2. ページ右上のビルダーを使用を選択します。

  3. ビルダーがデフォルトの検索設定となり、クエリ言語に切り替えるまでこの設定が維持されます。

詳細検索ビルダーへのアクセス

注意

最近選択した詳細検索インターフェースがデフォルトの検索設定として保存されます。どちらの詳細検索オプションでも、ページ右上のボタンで切り替えが可能です。たとえば、直前に詳細検索クエリ言語を使用していた場合は、右上からビルダーを使用を選択する必要があります。

検索クエリの作成🔗

XDRの検索文法では、検索クエリに条件を追加して絞り込むことができます。イベント クエリの場合、XDRでは複数のイベントタイプを選択できます。その後、必要に応じて条件を追加し、検索範囲をさらに絞り込むことができます。

新しい条件や演算子を追加すると、クエリの視覚的な表現がクエリビルダー下部のグレーのテキストに更新されます。この表現は、ビルダー形式またはクエリ言語形式で切り替えて表示できます。また、必要なだけ条件を追加できます。

注意

検索クエリに入力したテキストは大文字・小文字を区別しません。

詳細検索

詳細検索では、現在一度に1つのデータタイプ(検出 または イベント)のみ検索できます。詳細検索を作成する際は、データソースドロップダウンメニューのチェックボックスから検出または1つ以上のイベントタイプを選択する必要があります。利用可能なタイプは以下の通りです。

データタイプ🔗

  • 検出 — イベントまたはイベントセットに基づき、検知機がXDR検出をトリガーした際の出力。

  • イベント — 単一時点でのセキュリティテレメトリー。

イベントタイプ🔗

  • Antivirusイベント — ホストやネットワーク上のマルウェア活動に関連するイベント。

  • API Callイベント — プロセスがオペレーティングシステムのAPIを呼び出そうとした(成功・失敗を問わず)事例。

  • Authイベント — ログイン成功・失敗、ログオフなどのアクティビティ。

  • Cloud Auditイベント — クラウドベースのアプリケーションやクラウドホスト型インフラからの監査イベント。

  • 検出発見事項イベント — エンドポイントエージェントやXDR外部の他のソースから生成された検出。

  • DHCPイベント — IPアドレス割り当てなど、クライアントおよびサーバーのDHCPアクティビティの記録。

  • DNSイベント — ホストによるドメイン名解決要求の記録。

  • Emailイベント — フィッシングやスパムなどの手法に関連するEmailセキュリティサービスからのイベント。

  • Encryptイベント — SSL/TLS接続やX.509証明書メタデータに関連するイベント。

  • ファイル変更イベント — プロセスがファイルの作成、変更、書き込み、削除を試みた事例。

  • Genericイベント — syslogやその他一部の取り込みソースからのすべての生ログメッセージを格納。Genericイベントは他のイベントタイプにも正規化される場合があります。

  • HTTPイベント — HTTP接続の詳細。例:プロキシサーバーログからの情報。

  • 管理イベント — エンタープライズ環境のホストから管理情報へアクセスされた事例。例:WindowsのWMI経由。

  • Netflowイベント — ボックス内外の通信におけるネットワークトラフィック情報(送信元/宛先IPやポートを含む)。

  • NIDSイベント — ネットワーク侵入検知・防御システムからのイベント。

  • Persistenceイベント — Runキー、スケジュールタスク、サービスなど、攻撃者が侵害システムで永続化を維持するために一般的に使用する手法に関連するイベント。

  • Processイベント — 他のライブプロセスでの任意コード実行。Processイベントには、プログラムの起動や関連するコマンドライン、親子関係、ホスト上で実行されたプログラムやコマンドに関するその他情報、メイン親実行ファイル(例:WindowsのPowerShell)によって起動されたターゲットプログラムの情報が含まれる場合があります。

  • Process Moduleイベント — 異なるプロセスによってライブラリがロードされた際に生成されるイベント。

  • Registryイベント — 特定のWindowsレジストリエントリのプロパティ。攻撃の検出に役立つ場合があります。

  • Script Blockイベント — 攻撃者や他のエンティティによってリモートエンドポイント上でコード(スクリプト)のブロックが実行された事例。

  • Taegis Agentイベント — Taegis Agentによって報告された検出。

  • テクニック発見事項イベント — エンドポイントエージェントやXDR外部の他のソースで観測された、不正な挙動の指標。

  • サードパーティアラートイベント — XDR外部のソースで生成されたアラートのイベント記録。

  • スレッドインジェクションイベント — スレッドが異なるターゲットプロセスのメモリアドレス空間内にコードを挿入し、実行した事例。

注意

検出は任意の期間で検索できます。

ただし、イベント データは異なる扱いとなり、31日以内の任意の期間で検索できます。イベントデータは、詳細検索で検出以外のTypeを選択するか、クイックサーチから検索できます。これらの方法でイベントデータを検索する場合、カスタム日付ピッカーで検索期間を指定できます。このカスタム日付ピッカーでは、アカウントがデータを保持している任意の開始日を選択できます。ただし、検索期間の終了日を選択する際は、開始日と終了日の差(日数)が31日以内である必要があることに注意してください。

検索ルール🔗

各検索ルールは1つ以上の条件から構成されるクエリです。検索ルールが複数の条件で構成されている場合、それらにはANDロジックが適用されます。つまり、指定したすべての条件が一致した場合のみ結果が返されます。

論理型🔗

論理型は、特定のフィールドカテゴリに対応するデータスキーマのフィールド名にマッピングされる特別なフィールドです。論理型を使用することで、各スキーマごとに個別のフィールド名を覚えて指定する必要がなくなります。論理型は @ プレフィックスで示されます。@<論理型名> と指定すると、関連するすべてのイベントフィールドが自動的にクエリされます。

論理型のマッピング🔗

以下は最新の論理型マッピングです。

@command - コマンドライン🔗
  • apicall: commandline
  • auth: commandline
  • filemod: commandline
  • process: commandline, commandline_decoded
  • threadinjection: commandline
@domain - ドメイン名🔗
  • detection: entities prefix - ipDomain, targetAuthDomainName, sourceAuthDomainName, authDomainName
  • auth: target_domain_name, source_domain_name, extra_targetoutbounddomainname
  • dnsquery: query_name
@hash - ハッシュ/ダイジェスト🔗
  • detection: entities prefix - fileMd5, fileSha1, fileSha256, programMd5, programSha1, programSha256, programSha512
  • auth: process_file_hash, process_file_hash.md5, process_file_hash.sha1, process_file_hash.sha256, process_file_hash.sha512
  • filemod: file_hash,parent_process_file_hash.md5, parent_process_file_hash.sha1, parent_process_file_hash.sha256, parent_process_file_hash.sha512, process_file_hash.md5, process_file_hash.sha1, process_file_hash.sha256, process_file_hash.sha512, file_hash.md5, file_hash.sha1, file_hash.sha256, file_hash.sha512
  • process: program_hash.md5, program_hash.sha1, program_hash.sha256, program_hash.sha512, target_program.sha1_hash, host_program.sha1_hash
@host - ホスト名🔗
  • detection: entities prefix - hostName
  • auth: target_host_name, extra_targetservername, extra_workstationname
  • managementevent: client_hostname, client_hostname_fqdn, target_hostname, target_hostname_fqdn
  • process: process, computer_name
@ip - IP v4/6アドレス🔗
  • detection: entities prefix - destIpAddress, destIpGeo, ipAddress, sourceIpAddress, sourceIpGeo
  • auth: target_address, source_address
  • cloudaudit: source_address
  • dnsquery: source_address, destination_address
  • http: source_address, destination_address, true_source_address
  • netflow: source_address, destination_address, source_nat_address, destination_nat_address
  • nids: source_address, destination_address
@mac - MACアドレス🔗
  • http: source_mac, destination_mac
  • netflow: source_mac, destination_mac
@path - ファイルパス🔗
  • detection: entities prefix - fileName
  • auth: process_filename
  • command: host_program.path, host_program.user_path, host_program.native_path, program.path, program.user_path, program.native_path
  • fileinfo: path, user_path, native_path
  • filemod: file_name
  • managementevent: script_file_path
  • memoryallocation: file.path, file.user_path, file.native_path
  • persistence: file.path, file.user_path, file.native_path, command.host_program.path, command.host_program.user_path, command.host_program.native_path, command.program.path, command.program.user_path, command.program.native_path, service.image_path, scheduled_task.action.path, shortcut.relative_path, shortcut.working_directory, shortcut.target_path, shortcut.file.path, shortcut.file.user_path, shortcut.file.native_path
  • process: image_path, parent_image_path, allocations.file.path, allocations.file.user_path, allocations.file.native_path, modules.file.path, modules.file.user_path, modules.file.native_path, host_program.path, target_program.path, host_module.file.path, host_module.file.user_path, host_module.file.native_path
  • processmodule: file.path, file.user_path, file.native_path
  • scheduledtask: action.path
  • scriptblock: interpreter_path
  • service: image_path
  • shortcut: relative_path, working_directory, target_path, file.path, file.user_path, file.native_path
  • threadinjection: source_process_name, target_process_name
@port - TCP/UDPポート🔗
  • auth: target_port, source_port
  • http: source_port, destination_port
  • netflow: source_port, destination_port, source_nat_port, destination_nat_port
  • nids: source_port, destination_port
@raw - 生ログ/メッセージデータ🔗
  • すべての利用可能なイベントタイプのoriginal_dataフィールドを検索します
@url - URL🔗
  • cloudaudit: resources.resource_id
@user - ユーザー名🔗
  • detection: entities prefix - userName
  • auth: target_user_name, source_user_name, extra_targetoutboundusername, extra_userprincipalname, extra_virtualaccount, extra_subject_domain_user_id, extra_target_domain_user_id
  • cloudaudit: user_name
  • managementevent: username
  • process: username

ネストされたクエリ🔗

ネストされたクエリを使用すると、複数の検索ルールをグループ化して、より複雑な検索を作成できます。+ グループを追加を選択し、ルールのグループを作成してください。

ネストされたクエリと一致条件(AND/OR)🔗

ネストされたクエリのうち_いずれか_に一致させたい場合はOR、_すべて_に一致させたい場合はANDを選択します。

注意

クエリの意図したネストレベルにAND/ORの選択が適用されていることを、ルールビルダーの色付きラインで確認してください。

ネストされたクエリの使用

検出を条件に用いたイベント検索🔗

detection.resource_idフィールドを使用して、検出 が発生したイベント を特定し、検出 の存在に基づいてイベント検索を絞り込むことができます。detection.resource_idフィールドは以下の演算子をサポートします。

  • is
  • is not null
  • in
  • contains

これらの演算子でdetection.resource_idを使用した検索は、検出 に紐づくイベント のみを返し、セキュリティ関連イベントの特定を容易にします。

検出を条件に用いたイベント検索

下記の検索例を活用し、検出 を生成したセキュリティ関連イベントを効率的に絞り込み、監視や対応力を高めてください。

検索結果の共有🔗

詳細検索の結果リンクをテナント内の他のユーザーと共有できます。検索結果テーブル上部の共有( )アイコンを選択すると、結果へのリンクがクリップボードにコピーされます。

検索結果の共有

注意

結果リンクを共有された相手は、XDRのユーザーであり、かつ検索元テナントのアカウントを持っている必要があります。

保存済み検索をケースに追加する🔗

保存済み検索をケースに追加するには、以下の手順を実行します。

  1. Taegis XDRメニューから詳細検索を選択します。詳細検索が表示されます。
  2. 保存済み検索を選択し、マイクエリまたはマイオーガニゼーションからケースに追加したい保存済み検索を探します。

  3. 目的のクエリのオーバーフローメニューアイコンを選択し、新規ケースの作成を選択して検索クエリを新しい空のケースに追加するか、ケースに追加を選択して検索クエリを既存のケースに追加します。

    クエリをケースに追加

  4. 希望するオプションのプロンプトに従い、送信を選択して検索クエリを追加します。

注意

この操作を行うと、ケースには元の検索クエリへのリンクが含まれます。検索結果のコピーは作成されません。また、元の検出やイベントデータのコピーも作成されず、検出やイベントの保持ポリシーも変更されません。

この機能の詳細については、保存済み検索をケースにリンクするを参照してください。

データ保持ポリシー🔗

Secureworksは、イベントおよび検出データをデータ受領日から12か月間保持します。その他のデータに関する事項については、Secureworks Cloud Services Interface プライバシーステートメントをご参照ください。

検索例🔗

以下の検索例は、XDRの詳細検索ビルダーで利用できます。これらはデータの検索や絞り込み方法の一例です。センサータイプと、それぞれの対応検知器を利用しています。

Netflow検索🔗

関心のあるデバイスタイプ(XDRではsensor_typeと呼ばれます)のネットワークトラフィックイベントを検索するには、typeにnetflow、希望するsensor_typeを指定します。

Netflow🔗

[Type: netflow AND sensor_type: is: PALOALTO_FIREWALL]

特定のCisco ASAのNetflowログ🔗

[Type: netflow AND sensor_type: is: CISCO_FIREWALL_ASA AND sensor_id: is: 10.207.32.7]

NIDS検索🔗

関心のあるデバイスタイプ(XDRではsensor_typeと呼ばれます)のネットワーク侵入検知イベントを検索するには、typeにnids、希望するsensor_typeを指定します。

NIDS🔗

[Type: nids AND sensor_type: is: Watchguard Firewall]

Palo Altoデバイスの特定Threat IDのNIDS検索🔗

[Type: nids AND sensor_type: is: PALOALTO_FIREWALL] AND [signature_id: > 10000 AND signature_id: < 30000]

認証(Auth)検索🔗

関心のあるデバイスタイプ(XDRではsensor_typeと呼ばれます)の認証イベントを検索するには、typeにauth、希望するsensor_typeを指定します。

Auth🔗

[Type: auth AND sensor_type: is: CISCO_FIREWALL_ASA]

特定のCisco ASA(WebVPNアクティビティ)のAuthログ検索🔗

[Type: auth AND sensor_type: is: CISCO_FIREWALL_ASA AND sensor_id: is: 192.168.2.98]

特定Windowsホスト(sensor_id)の認証イベント検索🔗

[Type: auth AND sensor_id: is: CALSDC01]

Azure認証イベントの検索🔗

テーブル詳細に「Sensor tenant」を追加すると、AzureサブスクリプションIDが表示されます。

[Type: auth AND auth_system: is: AzureActiveDirectory]

[Type: auth AND auth_system: is: AzureAD]

両方を利用する場合:

[Type: auth AND auth_system: starts with: AzureA]

特定ユーザーの認証検索🔗

[Type: auth AND target_user_name: is: John.Brown]

特定ユーザーの認証失敗検索🔗

[Type: auth AND target_user_name: is: John.Brown AND action: is: FAILURE]

LinuxホストのAuthイベント検索🔗

Type: auth AND [sensor_type: is: sshd OR sensor_type: is: sudo]

MSクラウドサービスからの認証検索🔗

auth + normalizer contains microsoft

[Type: auth AND normalizer: contains: microsoft]
Last 7 Days
  • MS Office 365やAzure ADからの認証データを検索

プロセスコマンドライン検索

HTTP検索🔗

関心のあるデバイスタイプ(XDRではsensor_typeと呼ばれます)のWebイベントを検索するには、typeにhttp、希望するsensor_typeを指定します。

HTTP🔗

[Type: http AND sensor_type: is: 'Watchguard Firewall']

DNSquery検索🔗

関心のあるデバイスタイプ(XDRではsensor_typeと呼ばれます)のDNSイベントを検索するには、typeにdnsquery、希望するsensor_typeを指定します。

DNSquery🔗

[Type: dnsquery AND sensor_type: is: MSDNS]

名前付きDNSクエリ/レスポンスイベントの検索🔗

[Type: dnsquery AND sensor_type: is: named]

プロセスイベント検索🔗

以下は、XDRの詳細検索パネルを利用したプロセスイベントの検索例です。

process + host_id contains {指定ID} for [選択した日付範囲]

[Type: process AND host_id: contains: abc123]
Last 72 Hours

この検索は、特定のホストIDに紐づく、非常に短い時間枠で発生したプロセスイベントを探しています。

プロセスイベント検索の特定性をさらに高めることも可能です。以下の検索はcmd.exeを対象としています。

process + host_id contains {指定ID} + parent_image_path contains cmd.exe for [選択した日付範囲]

[Type: process AND host_id: contains: abc123] AND parent_image_path: contains: cmd.exe
Last 7 Days

process commandline contains echo + commandline contains cmd + commandline contains [文字列]

[Type: process AND commandline: contains: echo] AND [commandline: contains: cmd AND commandline: contains: test]
Last 7 Days
  • ネストされたクエリで特定のコマンドラインアクティビティを検索

プロセスコマンドライン検索

複数イベント検索🔗

複数のイベントタイプを同時に検索するには、データソースドロップダウンメニューの左側のチェックボックスから希望するタイプを選択します。

複数イベント検索

特定IPのNetflowおよびAuthイベント検索🔗

[ Type: auth,netflow AND @ip: is: 10.10.10.1 ]

検出を条件に用いたイベント検索の例🔗

以下の検索例を活用し、検出 を生成したセキュリティ関連イベントを効率的に絞り込み、監視や対応力を高めてください。

注意

検出 のリソースIDは、検出のJSONビューで確認できます。

検出 に紐づくAuthイベントの検索🔗

[ Type: auth AND detection.resource_id: is not: NULL ]

完全な検出リソースIDで特定検出 に紐づくAuthイベントの検索🔗

[ Type: auth AND detection.resource_id: is: detection://priv:event-filter:12345:1733425433662:cf996f9a-54a2-5cc8-95af-fc438fd911ea ]

部分一致の検出リソースIDでAuthイベントの検索🔗

[ Type: auth AND detection.resource_id: contains: cf996f9a-54a2-5cc8-95af-fc438fd911ea ]

複数の完全な検出リソースIDで特定検出 に紐づくAuthイベントの検索🔗

[ Type: auth AND detection.resource_id: in: detection://priv:event-filter:12345:1733418217531:056862f0-c471-552a-8a5c-731433fbb78a,detection://priv:event-filter:12345:1733425433662:cf996f9a-54a2-5cc8-95af-fc438fd911ea ]

検出 検索🔗

detection + [選択した日付範囲]

Type: detection
Last 72 Hours
  • 多くの場合、特定の期間内の検出 を検索します。

期間指定での検出検索

重大度による検出 検索🔗

severity条件を選択し、希望する重大度パーセンテージに対応する0から1の値を入力することで、検出 の重大度で検索できます。以下の検索は高または重大な検出 を対象としています。

detection + severity >= .6 for [選択した日付範囲]

[Type: detection AND severity: >=: .6]
Last 72 Hours

重大度による検出検索

インテグレーションによる検出 検索🔗

関心のあるインテグレーションの検出 を検索するには、typeにdetection、希望するアプリやdetectionTypeなどを指定します。

Kerberoasting検出の検索🔗

[Type: detection AND creator: is: app:detect:kerberoasting-detector]

Amazon GuardDutyからの検出 検索🔗

[Type: detection AND detectionType: is: aws_guard_duty]