月次レポートについて
概要
アカウントの正常性スコア
アカウントのセキュリティスコアは 100点満点です。これは、お使いのデバイスまたはポリシーが推奨される安全な設定を使用しているかどうか示しています。また、さまざまな種類のヘルスチェックの中で最も低いスコアも反映されます。スコアの計算方法については、「ヘルスチェックスコア」を参照してください。各ヘルスチェックの詳細を表示するには、[詳細] リンクをクリックして、 Sophos Central のアカウントヘルスチェックページにアクセスします。
ソフォスのアカウントの状態のチェックの推奨項目には、認証情報の盗難や権限の昇格を防止するためにエクスプロイト対策機能を有効にする、C&C サーバーとの通信を妨害するために悪意のあるトラフィックの検出機能を有効にする、などがあります。アカウントの状態のチェックを使用して、セキュリティ体制をプロアクティブに改善したり、セキュリティ機能に悪影響を与える可能性のある弱点を改善したりできます。
保護の総合評価は、次のいずれかになります。
- 緑色: 最適 (推奨されるベストプラクティスに完全に準拠)
- 黄色: 劣化 (高リスクの設定がいくつかあるが、MDR サービスの有効性には影響しない)
- 赤: 対処が必要 (高リスクの設定が複数あるため、MDR サービスが最適なレベルで機能しない)
導入されたライセンスの総数
Total Licenses Deployed (導入されたライセンスの総数) には、ライセンスの使用状況に関する情報と、Central の「ライセンス」ページに移動するリンクが表示されます。
イベントパイプライン
Event Pipeline (イベントパイプライン) は、ソフォスを通過するデータの全体的な状況と、MDR サービスがデータを管理および処理する方法を視覚化します。最上位のレイヤーである「脅威関連の検出」は、環境内で生成されたすべての検出を対象としています。複数の検出ルールを使用してノイズを低減し、実用的な検出に焦点を当てます。2番目のレイヤーである「エスカレーションされた検出と相関した検出」には、このような検出が表示されます。「ケース」の次のレイヤーには、実用的な検出に基づいて自動的に生成されたケースの数が表示されます。「エスカレーション」とは、お客様の認識、情報、またはアクションを必要とするケースです。「インシデント」とは、お客様/MSP アセットに差し迫った脅威をもたらす、システムへの侵害または不正アクセス。これには、インタラクティブな攻撃者、データの暗号化または破壊、窃取などが含まれます。
ケース
月次レポートには、トレンドラインの 3か月 (90日間) のケースメトリックが含まれています。これは、ケースのタイプと、どの検出ソースから発生したのかを視覚化するのに役立ちます。
また、状態別の今月のケースメトリックの内訳も表示されます。
ケースアクティビティには、現在の未解決のケースと最近解決済みにしたケースが、ケース番号、ケースタイプ、簡単な説明と概要、およびケースの状態とともに表示されます。
検出総数
MDR 運用部門は、常に検出機能を改善しており、当然のこととして、レポートに表示される検出数の変動につながる可能性があります。このような調整は、脅威の特定にあたり、限られた範囲でしか役に立たなかった検出項目を無視したり、新たな脅威を特定するために、脅威の範囲と可視性を追加したりするために行われます。
お客様の環境内で検出される脅威の総数は、増加/減少しているのでしょうか?それとも変わらないのでしょうか?このセクションでは、1カ月の間に発生した警告の総数が表示され、これは、潜在的な攻撃アクティビティの転換点を MDR 運用部門が特定するのに役立ちます。
検出総数は、月ごとおよび重大度ごとに分類されます。レポートには、月ごとの比較のための 3か月分のデータが含まれています。
検出の分類サマリー
MDR 検出は、ネットワークで検出された検出の全体的な種類を理解するために、おおよそのカテゴリに分類されます。たとえば、一般的な攻撃ツール、PowerShell 実行、永続性などがあります。他のすべての検出と同様に、これらは必ずしも疑わしいまたは悪意のあるアクティビティを示すものではなく、収集された良性のデータに関連する検出である可能性もあります。
MITRE ATT&CK フレームワーク
MDR 検出は、MITRE ATT&CK フレームワークの特定の手法にマッピングされます。このフレームワークは、広く使用されている攻撃者の行動のサポートデータベースで、実環境の検出に基づいています。月次レポートのこのセクションには、検出の内訳がパーセンテージで表示されます。
他のすべての検出と同様に、これらは必ずしも悪意のあるアクティビティではなく、良性の動作が、攻撃戦術や手法に一致する場合もあります。また、MDR ケースの合計数は、検出された攻撃戦術の合計数に一致しない場合があることにも注意してください。1つの MDR ケースで複数の攻撃戦術が検出される可能性があり、その場合、戦術の数は MDR ケースの合計数を超えます。逆に、攻撃戦術に関連付けされない MDR ケース (例: セキュリティ状態のチェックなど) が作成される可能性があり、その場合、MDR ケースの総数は攻撃戦術の合計数を超えます。
統合別検出
MDR 統合により、MDR 担当者は最も重要なデータをすぐに入手できるので、攻撃の存在が隠される可能性を減らします。「Detections by Integrations」(統合別検出) には、どのインテグレーションによって検出が生成されたかが示されます。
その他の Sophos MDR の取り組みには、最近実行された対応アクションのリストと、アカウントの連絡先との通信内容が含まれています。