コンテンツにスキップ

MDR 週次および月次レポート

MDR 活動に関する週次および月次のパートナーレポートを理解します。

MDR 月次レポートには、MSP または月次サブスクリプションを利用している管理対象顧客のみが含まれます。

顧客のサマリー

顧客のサマリーのセクションには、顧客の合計、使用されているレスポンスモード、統合を使用している顧客、およびアカウントの正常性スコアに関する情報が表示されます。

レスポンスモード

レスポンスモードは各レスポンスモードの顧客数が表示されます。

統合を使用した顧客カウント

統合を使用した顧客カウントは、アクティブにデータを送信している統合が有効になっている顧客の数を表示します。統合が設定されていない場合、このセクションでは顧客はカウントされません。

アカウントの正常性スコア

アカウントの正常性スコアには、特定のスコア範囲内の全体的な正常性スコアを持つ顧客の数が表示されます。これは、お使いのデバイスまたはポリシーが推奨される安全な設定を使用しているかどうか示しています。また、さまざまな種類のヘルスチェックの中で最も低いスコアも反映されます。

ソフォスのアカウントの状態のチェックの推奨項目には、認証情報の盗難や権限の昇格を防止するためにエクスプロイト対策機能を有効にする、C&C サーバーとの通信を妨害するために悪意のあるトラフィックの検出機能を有効にする、などの設定があります。アカウントの状態のチェックを使用して、セキュリティ体制をプロアクティブに改善したり、セキュリティ機能に悪影響を与える可能性のある弱点を改善したりできます。

レポートのサマリーセクション。

検出

検出の変化率を示します。検出はテクノロジーによって生成され、脅威の可能性に基づいて重み付けおよび分類されるアクティビティの指標です。多くの場合、このようなデータポイントは単に情報を提供する役目を持ち、それのみに基づいてケースが作成されることはありません。多くの場合、検出には、コマンドの実行、開かれたネットワークソケット、認証イベント、実行中のアプリケーションなどの項目が含まれます。

ケース

ケースの変化率を示します。検出主導型、または手動で作成されたかにかかわらず、検出が真の脅威であり、悪意のあるアクティビティが発生しているかどうかを判断するためにケースは調査されます

エスカレーション

顧客の入力または MDR Ops だけでは実行できないアクションが必要なケースの変化率を示します。

アクティブな脅威

アクティブな脅威の変化率を示します。アクティブな脅威は、顧客のネットワーク内で確認された攻撃のインジケータ (IOA) または確認された侵害のインジケータ (IOC) です。

検出、ケース、エスカレーション、およびアクティブな脅威に関するデータです。

脅威関連の検出による上位顧客

MDR Ops チームは、常に検出機能を改善しており、当然のこととして、レポートに表示される検出数の変動につながる可能性があります。このような調整は、脅威の特定にあたり、限られた範囲でしか役に立たなかった検出項目を無視したり、新たな脅威を特定するために、脅威の範囲と可視性を追加したりするために行われます。

このセクションでは、1か月または1週間の間に確認された上位顧客検出ボリュームに関するインサイトを提供します。これにより、MDR Opsチームは、潜在的な攻撃アクティビティの転換点を特定することができます。

月次の脅威関連の検出による上位顧客。

検出の分類サマリー

MDR 検出は、ネットワークで検出された検出の全体的な種類を理解するために、おおよそのカテゴリに分類されます。たとえば、一般的な攻撃ツール、PowerShell 実行、永続性などがあります。すべての検出が疑わしいアクティビティや悪意のあるアクティビティを示しているわけではありません。一部は、収集された良性のデータに関連付けられている可能性があります。

検出の分類サマリー。

MITRE ATT&CK フレームワーク

MDR 検出は、MITRE ATT&CK フレームワークの特定の手法にマッピングされます。このフレームワークは、広く使用されている攻撃者の行動のサポートデータベースで、実環境の検出に基づいています。週次または月次レポートのこのセクションには、検出の内訳がパーセンテージで表示されます。

すべての検出が悪意のあるアクティビティを表すわけではなく、良性の動作が既知の攻撃戦術や手法と一致する場合があります。さらに、MDR ケースの総数は、確認できた攻撃戦術の総数と一致しない場合があります。これは主に次の 2つの理由で発生します。

  • 1つの MDR ケースに複数の攻撃戦術が含まれる場合があるため、戦術の総数がケースの数よりも大きくなります。
  • 正常性チェックケースなどの一部の MDR ケースでは、攻撃戦術が含まれていない場合があり、その結果、確認された戦術よりも多くのケースが発生することになります。

MITRE ATT&CK フレームワーク。

顧客の状態

顧客の状態のセクションには、各顧客の週次または月次 MDR アクティビティレポートの統計サマリーが表示されます。

顧客の状態のセクション。