エンティティグラフの探索

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

エンティティグラフは、関連するデータと関与するエンティティを相関させて視覚的に表現し、アナリストがセキュリティインシデントの範囲を理解し、根本原因を特定するのに役立ちます。

エンティティグラフを使用すると、エンティティ間の関係や詳細を把握し、異なるデータソース間の接続を簡単に確認でき、エンティティが攻撃の一部である様子を可視化できます。エンティティグラフにより、アナリストは貴重なインサイトを得て、ケースレビューのプロセスを迅速化できます。

エンティティグラフへのアクセス方法:

• ケースの右上

  

  ケースからエンティティグラフを開く

• 検出の右上

  

  検出からエンティティグラフを開く

• ケーステーブルのアクション列

  

  ケーステーブルからエンティティグラフを開く

機能

エンティティグラフを活用することで、以下が可能です:

• エンティティ間の接続を可視化。 ビジュアルグラフはエンティティの関係を表示し、異なるデータソース間の接続を簡単に確認できます。これにより、エンティティが攻撃にどのように関与しているかを包括的に把握できます。
• ノードを選択してエンティティに関する追加インサイトを取得。 エンティティのプロパティ、関連する検出、関連エンティティ、脅威インテリジェンス（利用可能な場合）などを確認できます。
• エッジを選択して、その関係に含まれる検出やイベントを把握。

エンティティグラフの探索

エンティティグラフは、左側のインタラクティブなグラフと右側のタブの2つの主要なセクションに分かれています。

エンティティグラフ

インタラクティブグラフは、ノードとしてエンティティを、エッジ（エンティティ間の関係やアクティビティを示す方向付きの線）で接続して表示します。

ヒント

サポートされているエンティティの説明はエンティティタイプ、関係の説明は関係タイプを参照してください。

エンティティグラフの概要

1. 各ノードはエンティティを表します。ノードを選択すると、エンティティの詳細が詳細タブに表示されます。
2. 各エッジは、接続されたエンティティ間の関係やアクティビティを表し、矢印で方向を示します。線を選択すると、関係の詳細が詳細タブに表示されます。
3. エッジ名の後に数字が付いている場合は、そのアクティビティがその回数発生したことを示します。
4. 脅威インテリジェンスが利用可能で不正の可能性があるノードには、グラフやテーブルに脅威インテリジェンスアイコンが表示されます。
5. 青い数字は、折りたたまれている送信エッジの数を示します。ノードをダブルクリックすると送信エッジが展開されます。
6. 青いマイナス記号（−）は送信エッジが展開されていることを示します。ノードをダブルクリックすると送信エッジが折りたたまれます。

以下のコントロールでグラフを調整できます:

• パネルの調整 — グラフとタブの間の区切り線を選択してドラッグしパネルのサイズを調整、または区切り線上部の折りたたみ/展開アイコンを選択してタブパネルを折りたたみ/展開します。
• グラフレイアウトの調整 — ノードを選択してドラッグし、グラフのレイアウトを調整します。
• グラフの移動 — ノード以外の部分を選択してドラッグし、グラフ全体を移動します。
• ズーム — グラフ左側のズームボタンを選択するか、グラフ内でスクロールして拡大・縮小します。
• 中央揃え・フィット — グラフ左側の中央揃え・ウィンドウにフィットボタンを選択して、表示をリセットします。
• ダウンロード — 画像をダウンロードボタンを選択して、グラフをPNGファイルとして保存します。
• 選択解除 — 選択したすべてのエンティティをグラフから解除します。

詳細タブ

右側パネルの詳細タブは、エンティティ、関係、またはタブや左側グラフから検出を選択した際に内容が表示されます。詳細は以下のタブセクションを参照してください。

エンティティタブ

右側パネルのエンティティタブには、ケースまたは検出に関連付けられたすべてのエンティティのテーブルが表示されます。行の左側にあるチェックボックスで1つ以上のエンティティを選択すると、グラフ内でそのエンティティと関係がハイライトされます。左側のグラフからノードを選択すると、テーブルもそのエンティティを選択状態に更新します。

エンティティタブ

エンティティ名を選択すると、エンティティの詳細が詳細タブで開きます。

エンティティテーブルをカスタマイズするには、列ヘッダー横のメニューアイコンを選択し、以下の操作が可能です:

• メニュータブのオプションから、ピン留め、自動サイズ、リセットを選択できます。
• フィルタータブ（利用可能な場合）から、テキスト入力やチェックボックスでその列の内容をフィルタリングできます。
• カラムタブから、テーブルに表示する列を選択できます。

ヒント

サポートされているエンティティの説明はエンティティタイプを参照してください。

関係タブ

右側パネルの関係タブには、すべてのエンティティ間の関係のテーブルが表示されます。行の左側にあるチェックボックスで1つ以上の関係を選択すると、グラフ内でその関係がハイライトされます。左側のグラフからエッジを選択すると、テーブルもその関係を選択状態に更新します。

関係タブ

行から関係タイプを選択すると関係の詳細が詳細タブで開き、ソースまたはターゲットエンティティを選択するとエンティティの詳細が詳細タブで開きます。

関係テーブルをカスタマイズするには、列ヘッダー横のメニューアイコンを選択し、以下の操作が可能です:

• メニュータブのオプションから、ピン留め、自動サイズ、リセットを選択できます。
• フィルタータブ（利用可能な場合）から、テキスト入力やチェックボックスでその列の内容をフィルタリングできます。
• カラムタブから、テーブルに表示する列を選択できます。

ヒント

可能な関係の説明は関係タイプを参照してください。

検出タブ

右側パネルの検出タブには、ケースに関連付けられたすべての検出のテーブルが表示されます。行の左側にあるチェックボックスで1つ以上の検出を選択すると、その検出に属するエンティティや関係がグラフ内でハイライトされます。エンティティを選択すると、テーブルも関連する検出を選択状態に更新します。

検出タブ

検出タイトルを選択すると、詳細タブで検出の概要が開き、オプションで完全な検出を新しいタブで開くことができます。詳細は検出の詳細を参照してください。

検出テーブルをカスタマイズするには、列ヘッダー横のメニューアイコンを選択し、以下の操作が可能です:

• メニュータブのオプションから、ピン留め、自動サイズ、リセットを選択できます。
• カラムタブから、テーブルに表示する列を選択できます。

エクスプローラタブ

右側パネルのエクスプローラタブは、エンティティの詳細から関連エンティティを探索オプションを選択した際に表示され、選択したエンティティに関連する検出、イベント、ケースを表示します。検索条件は、最初の接続イベントから15分以内に見つかったエンティティがデフォルトです。上部のフィールドで条件を調整し、検索を選択します。

エクスプローラタブの検索条件調整

右側のテーブルで関連する検出やイベントを確認し、左側のチェックボックスで1つ以上選択した後、以下のいずれかのオプションを選択できます:

• グラフに表示 — 関連する検出やイベントに紐づくエンティティや関係をグラフに追加します。グラフに追加されたがケースに追加されていない関連検出やイベントは、行の左側にグレーのアイコンで表示されます。
• ケースに追加 — 検出やイベントをケースに追加します。ケースに追加された関連検出やイベントは、行の左側に青いアイコンで表示されます。

関連エンティティのオプション

エンティティの詳細を表示

グラフからエンティティノード、またはテーブルからエンティティ名を選択すると、詳細タブでエンティティの詳細が開き、追加のインサイトを得られます。

エンティティの詳細には、エンティティの基本プロパティや脅威インテリジェンス（利用可能な場合）が含まれます。詳細タブの新しいタブアイコンを選択すると、エンティティの詳細ページが完全表示されます。

エンティティの詳細

ヒント

脅威インテリジェンスが利用可能で不正の可能性があるノードには、グラフやテーブルに脅威インテリジェンスアイコンが表示されます。

詳細から関連エンティティを探索を選択すると、エクスプローラタブで選択したエンティティに関連するイベント、検出、ケースを検索できます。

関連エンティティを探索

CEL Explorerでエンティティを表示

アクションメニューからCEL Explorerで表示を選択し、Automationsの設定で使用するために、表示されているデータに対してCEL式の結果をテストします。詳細については、CEL Explorerを参照してください。

CEL Explorerでエンティティを表示

エンティティに対する対応アクションの実行

テナントで関連する自動化が設定されている場合、エンティティに対して対応アクションを実行できます。エンティティタブテーブルのアクション列、またはエンティティの詳細タブからメニューアイコンを選択してください。

エンティティテーブルから対応アクションを実行

詳細タブから対応アクションを実行

ヒント

ケースの証拠タブ内のエンティティサブタブからも、エンティティに対して対応アクションを実行できます。詳細はケースの操作を参照してください。

エンティティの関係

2つのエンティティを結ぶエッジ（線）は、それらの間の関係やアクティビティを表します。エッジは、該当する場合、アクティビティの結果を色で示します:

• 赤はアクティビティが失敗したこと（例: ログイン失敗）を示します。
• 緑はアクティビティが成功したこと（例: ログイン成功）を示します。

エンティティの関係

エッジラベルの後に数字が付いている場合、そのアクティビティがその回数試行されたことを示します。たとえば、上記画像では、ハイライトされたユーザーが14.98.176.182 IPによって2回認証されています。

関係の詳細を表示

グラフからエッジ、または関係タブテーブルから関係タイプを選択すると、詳細タブで関係の詳細が開き、追加のインサイトを得られます。

関係の詳細には、関係の詳細な概要（ソース・ターゲットエンティティや関連検出など）が含まれます。

関係の詳細

エンティティタイプ

エンティティグラフで利用可能なエンティティタイプは以下の通りです。すべてのエンティティタイプとそのプロパティの完全なリファレンスはEntity v2 Protocol Buffer Referenceを参照してください。

エンティティ	説明
AuthDomain	認証ドメイン（Auth Domain）は、認証と認可の目的でユーザーやシステムを論理的にグループ化したものです。アクセス制御の管理に役立ちます。
Certificate	証明書は、ネットワーク内のエンティティの身元を検証するために使用されるデジタル文書です。通常、安全な通信の文脈で利用され、証明書の所有者や発行者に関する情報を含みます。
CloudObject	クラウドオブジェクトは、クラウド環境に保存されている特定のアイテムやファイルを表します。ドキュメント、画像、その他クラウドストレージシステムにホストされるデジタルオブジェクトが該当します。
CloudResource	クラウドリソースは、クラウド環境にホストされているデジタル資産やコンポーネントを指します。仮想マシン、ストレージバケット、データベース、その他クラウドベースのサービスが含まれます。
DNSServer	DNS（Domain Name System）サーバーは、ドメイン名をIPアドレスに変換し、ユーザーが人間が読みやすい名前でウェブサイトやリソースにアクセスできるようにするネットワークサーバーです。
DomainName	ドメイン名は、インターネット上のリソースにアクセスするための人間が読みやすいラベルです。ウェブサイトやオンラインサービスを表し、1つ以上のIPアドレスに紐付けられます。
Email	Emailは、ネットワーク上でユーザー間で送信される電子メッセージを表します。送信者・受信者情報、メッセージ内容、メタデータを含みます。
EmailAddress	Emailアドレスは、Emailの送受信に使用される一意の識別子です。通常、ユーザー名、@記号、ドメイン名で構成されます。
File	ファイルは、コンピュータやサーバーに保存されたデジタル文書やデータを指します。テキスト、画像、音声、実行ファイルなど様々なタイプがあります。
FileHash	ファイルハッシュは、ファイルの内容から生成される暗号学的な値です。ファイルの整合性検証や改ざん検出に利用されます。
Function	サイバーセキュリティの文脈では、ファンクションはプログラムやシステム内で特定のタスクや操作を実行するソフトウェア関数やルーチンを指します。
Host	ホストは、ネットワーク上でデータの送受信が可能なコンピュータやデバイスです。サイバーセキュリティの文脈では、セキュリティイベントの監視対象となるシステム（サーバー、ワークステーション、ルーター、その他ネットワーク機器など）を指します。
IP Address	IPアドレスは、コンピュータネットワークに接続された各デバイスに割り当てられる数値ラベルです。ネットワーク内での通信の識別子となります。
Process	プロセスは、コンピュータ上で実行中のプログラムのインスタンスです。命令セットの実行を表し、挙動やセキュリティ関連イベントの監視対象となります。
RegistryKey	レジストリキーは、Windowsオペレーティングシステムで構成設定やその他システム関連情報を格納するための階層構造です。
ScheduledTask	スケジュールタスクは、コンピュータやサーバー上で特定の時刻や間隔で実行される自動化されたジョブやプロセスです。
Script	スクリプトは、スクリプト言語やプログラミング言語で記述された命令セットです。タスクの自動化、アクションの実行、特定機能の実装などに利用されます。
Service	サービスは、バックグラウンドで動作し、コンピュータやネットワークに特定の機能やサービスを提供するソフトウェアコンポーネントやアプリケーションです。ウェブサーバー、データベースサーバーなどが含まれます。
TaskAction	タスクアクションは、スケジュールタスクに関連付けられた特定のアクションや操作（例: スクリプトやプログラムの実行）を表します。
User	ユーザーは、コンピュータシステム、ネットワーク、アプリケーションへの認可されたアクセス権を持つ個人またはエンティティです。ユーザーの活動は、セキュリティや運用目的で監視されます。

関係タイプ

関係	説明	例
Auths	Auths関係は認証を表します。1つのエンティティ（多くはユーザーやプロセス）が、他のエンティティ（ユーザーやホストなど）を認証することを示唆します。	ユーザーはHostエンティティとAuths関係を持ち、ホストへの認証が可能であることを示します。 ユーザーはIpAddressエンティティとAuths関係を持ち、IPアドレスから認証できることを示します。 プロセスはUserエンティティとAuths関係を持ち、ユーザーの認証リクエストを作成できることを示します。
Connects	Connects関係は、1つのエンティティが他のエンティティと接続を確立することを示します。この接続は、エンティティ間の通信やデータ交換を伴います。	HostエンティティはIPや他のエンティティとConnects関係を持ち、それらと接続や通信を確立することを示します。 プロセスはIPや他のエンティティとConnects関係を持ち、接続や通信を開始できることを示します。
ConnectsWith	ConnectsWith関係は、特定のエンティティとの接続関係を表します。	プロセスはIPアドレスとConnectsWith関係を持ち、特定のIPアドレスと接続や通信を確立することを示します。 ホストはIPアドレスとConnectsWith関係を持ち、特定のIPアドレスと接続や通信を確立できることを示します。
Executes	Executes関係は、1つのエンティティがプロセスを開始・実行することを示します。ユーザーやホストなどのエンティティがプロセスを実行・管理できる能力を強調します。	ホストはProcessエンティティとExecutes関係を持ち、プロセスの実行が可能であることを示します。 ユーザーはProcessエンティティとExecutes関係を持ち、プロセスの実行が可能であることを示します。
ExecutesAs	ExecutesAs関係は、主にホストが他のエンティティ（多くはユーザー）のIDや権限でプロセスを実行することを示します。この関係は、システム上のプロセスの実行コンテキストを反映します。	ホストはUserエンティティとExecutesAs関係を持ち、特定ユーザーの代理でプロセスやアクションを実行することを示します。
ExecutesCloudEvent	ExecutesCloudEvent関係は、クラウドユーザーエンティティがクラウドオブジェクトやリソースに対してクラウド関連のイベントやアクションを実行することを示します。	クラウドユーザー（個人やサービスアカウントなど）はクラウドイベントを実行できます。これには、クラウドリソースの作成・変更、自動化ワークフローのトリガー、クラウドストレージへのデータアクセスなどが含まれます。 クラウドオブジェクト（仮想マシン、データベース、ストレージバケットなど）は、クラウドユーザーによって実行されるクラウドイベントの対象となります。これには、仮想マシンの起動・停止、データベーステーブルの作成、ストレージバケットへのデータアップロードなどが含まれます。
ExecutesCloudEventAs	ExecutesCloudEventAs関係は、IPアドレスエンティティがクラウドユーザーのIDやコンテキストでクラウド関連イベントを実行することを示します。クラウド環境でのアクションを反映します。	IPアドレスは、クラウドユーザーや他のエンティティの代理でクラウド関連イベントやアクションを実行することがよくあります。 クラウドユーザーは、特定のタスクやアクションをIPアドレスに委任し、IPアドレスがユーザーの代理でそれらを実行します。
Has	Has関係は所有や関連付けを示します。ファイルやリソースとの文脈で使用される場合、1つのエンティティが他のエンティティを所有または関連付けていることを意味します。	File: ファイルはFileHashエンティティとHas関係を持ち、ファイルに関連付けられたファイルハッシュがあることを示します。 Host: ホストはFile（ファイルを持つ）、User（ユーザーを持つ）、IpAddress（IPアドレスを持つ）など様々なエンティティとHas関係を持ちます。 Process: プロセスはFileエンティティとHas関係を持ち、関連ファイルがあることを示します。
HasParent	HasParent関係は、プロセス間の階層的または親子関係を表します。1つのプロセスが他のプロセスの子またはサブプロセスであることを示し、プロセスの依存関係を示します。	プロセスは親プロセスを持つことがあり、他のプロセスによって生成または開始されたことを示します。この関係はプロセスの系統を確立するのに役立ちます。
HTTPRequests	HTTPRequests関係は、エンティティ間（主にユーザー、ホスト、プロセス）でHTTPリクエストを送信するHTTP通信を表します。	ユーザーはウェブサイトやウェブアプリケーション、オンラインサービスにアクセスするためにHTTPリクエストを送信します。IPアドレスやドメイン名など、ウェブ通信に関連するエンティティとHTTPRequests関係を持つことがあります。 ホスト（サーバーやコンピュータ）は、ウェブコンテンツの提供やウェブサービスとのやり取りの際にHTTPRequests関係を持ちます。これらの関係はIPアドレス、ドメイン名、他のホストとの間で確立されます。
HTTPRequestsWith	HTTPRequestsWith関係は、エンティティ（多くはユーザーやホスト）と特定のエンティティ間で、特定のIPアドレスを介したHTTPリクエストの送信を伴う接続ややり取りを表します。	ユーザーは特定のIPアドレスやドメイン名とHTTPRequestsWith関係を持ち、これらのエンティティとHTTP通信を行ったことを示します。 ホスト（サーバーやコンピュータ）は、特定のIPアドレスやドメイン名とHTTPRequestsWith関係を持ち、HTTPリクエストを交換したことを示します。
InjectsThread	InjectsThread関係は、1つのエンティティ（多くはプロセス）が他のエンティティ（多くは別のプロセス）内に新しいスレッドを注入または作成するアクションを表します。	Processエンティティが他のプロセスにInjectsThreadする場合、最初のプロセスが2番目のプロセス内に1つ以上のスレッドを作成することを示します。
Links	Links関係は、1つのエンティティが他のエンティティを指し示したり参照したりする接続を表します。多くの場合、追加のコンテキストや情報を提供します。	Fileエンティティが他のFileをLinksする場合、最初のファイルが2番目のファイルへの参照やハイパーリンクを含むことを示します。
Manages	Manages関係は、1つのエンティティが特定のコンテキストやドメイン内で他のエンティティを管理・監督・制御することを示します。	Userエンティティが他のUserエンティティを管理する場合、管理ユーザーが管理対象ユーザーに対して管理権限や監督権限を持つことを示します。
Modifies	Modifies関係は、1つのエンティティが他のエンティティに変更や修正を加えるアクションを表します。	ProcessエンティティがRegistryKeyエンティティを修正する場合、プロセスがレジストリキーに変更を加えていることを示します。
ModifiesFile	ModifiesFile関係は、プロセスがファイルを変更または修正することを示します。ファイルの内容や属性の変更アクションを表します。	Processエンティティはファイルを修正し、ファイルに変更を加えていることを示します。
Persists	Persists関係は、1つのエンティティが他のエンティティと長期間関連付けられて存在し続けることを示します。多くはストレージや永続化の文脈で使用されます。	FileエンティティがHost内にPersistsする場合、ファイルがホストのファイルシステムに保存され続けていることを示します。 RegistryKeyエンティティがHost内にPersistsする場合、レジストリキーがホストのレジストリに保存されていることを示します。
ProvidesDNS	ProvidesDNS関係は、DNSServerエンティティがドメイン名のDNS解決サービスを提供することを示します。DNSサーバーの役割を反映します。	DNSServerエンティティはProvidesDNS関係を持ち、DNSサーバーとしてドメイン名からIPアドレスへの解決サービスを提供していることを示します。
Publishes	Publishes関係は、IPアドレスやEmailアドレスなどのエンティティが特定のコンテンツや情報を共有・公開することを示します。	EmailAddressエンティティはEmailを公開し、送信や転送に関連付けられていることを示します。 IPアドレスエンティティはEmailを公開し、送信や転送に関連付けられていることを示します。
QueriesDNSWith	QueriesDNSWith関係は、プロセスやホストが特定のIPアドレスを使用してDNSサーバーに問い合わせを行うことを示します。特定のアドレスを用いたDNS情報の取得アクションを表します。	ProcessエンティティはIpAddressエンティティとQueriesDNSWith関係を持ち、特定のIPアドレスでDNSを問い合わせていることを示します。 ホストはIpAddressエンティティとQueriesDNSWith関係を持ち、特定のIPアドレスでDNSを問い合わせていることを示します。
QueriesDNS	QueriesDNS関係は、主にプロセスやホストがDNSサーバーやドメイン名にDNS関連情報の問い合わせを行うことを示します。DNSレコードの検索アクションを反映します。	IPアドレスエンティティはQueriesDNS関係を持ち、ドメイン名のDNS問い合わせに関与していることを示します。 ProcessエンティティはQueriesDNS関係を持ち、ドメイン名のDNS問い合わせを行っていることを示します。
Resolves	Resolves関係は、ドメイン名エンティティがIPアドレスに解決されることを示します。人間が読みやすいドメイン名が数値のIPアドレスに変換されることを強調します。	DomainNameエンティティはResolves関係を持ち、DNS解決に関与し、通常はIPアドレスや他のドメイン名に解決されます。