コンテンツにスキップ

イベントの詳細🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

イベントは、検索結果、ケース、および検出の詳細から確認できます。各イベントで表示される詳細は、イベントタイプや利用可能なデータによって異なります。

プロセスイベントのイベント詳細

イベントのテーブルを表示している際は、イベントタイトルを選択すると、そのイベントの主要な詳細をプレビューサイドパネルで確認できます。これにより、場所やフィルターを失うことなく、結果テーブルを引き続き閲覧できます。イベントの全詳細を表示するには、新しいタブで開くアイコンを選択してください。イベントの詳細が新しいタブで開きます。

ヒント

プレビューサイドパネルの幅は、パネルを押しながらドラッグすることで調整できます。

イベントの詳細🔗

ほとんどのイベントには以下が含まれます:

  • イベントサマリー — イベントで発生した内容の簡単な要約。

  • Netflowダイアグラム — NetflowおよびNIDSイベントでは、netflowダイアグラムが表示される場合があります。

    Netflowイベントで表示されるNetflowダイアグラム

  • イベント詳細テーブル — イベントに関する正規化された情報の一部を提供します。テーブル内の項目はイベントタイプによって異なります。

  • 正規化データ — イベントに関するすべての正規化情報を、JSON形式の展開/折りたたみ可能なツリービューで表示します。

    Authイベントのイベント詳細におけるJSONビュー

  • 元データ — 利用可能な場合、イベントの正規化前の元データを表示します。

  • タイムラインで表示 — 一部のイベントでは、選択したイベントから、同じホスト(host_id)で発生した関連する検出イベントのタイムラインビューにピボットできます。詳細は関連イベントのタイムラインビューをご参照ください。

プロセスイベントの詳細🔗

上記のイベント詳細に加え、プロセスイベントには以下が含まれます:

  • 系統 — プロセスツリーの視覚的かつインタラクティブなビュー。詳細はプロセスイベントの系統をご参照ください。
  • プロセスツリー — ツリー表示によるプロセスの系譜の階層ビュー。詳細はプロセスツリーをご参照ください。
  • 関連イベント — 現在のプロセスイベントに関連するnetflow、スレッドインジェクション、永続化、スクリプトブロックイベントの詳細検索への直接リンク。

データタイプ🔗

  • 検出 — イベントまたはイベントセットに基づき、検知機がXDR検出をトリガーした際の出力。

  • イベント — 単一時点でのセキュリティテレメトリー。

イベントタイプ🔗

  • Antivirusイベント — ホストやネットワーク上のマルウェア活動に関連するイベント。

  • API Callイベント — プロセスがオペレーティングシステムのAPIを呼び出そうとした(成功・失敗を問わず)事例。

  • Authイベント — ログイン成功・失敗、ログオフなどのアクティビティ。

  • Cloud Auditイベント — クラウドベースのアプリケーションやクラウドホスト型インフラからの監査イベント。

  • 検出発見事項イベント — エンドポイントエージェントやXDR外部の他のソースから生成された検出。

  • DHCPイベント — IPアドレス割り当てなど、クライアントおよびサーバーのDHCPアクティビティの記録。

  • DNSイベント — ホストによるドメイン名解決要求の記録。

  • Emailイベント — フィッシングやスパムなどの手法に関連するEmailセキュリティサービスからのイベント。

  • Encryptイベント — SSL/TLS接続やX.509証明書メタデータに関連するイベント。

  • ファイル変更イベント — プロセスがファイルの作成、変更、書き込み、削除を試みた事例。

  • Genericイベント — syslogやその他一部の取り込みソースからのすべての生ログメッセージを格納。Genericイベントは他のイベントタイプにも正規化される場合があります。

  • HTTPイベント — HTTP接続の詳細。例:プロキシサーバーログからの情報。

  • 管理イベント — エンタープライズ環境のホストから管理情報へアクセスされた事例。例:WindowsのWMI経由。

  • Netflowイベント — ボックス内外の通信におけるネットワークトラフィック情報(送信元/宛先IPやポートを含む)。

  • NIDSイベント — ネットワーク侵入検知・防御システムからのイベント。

  • Persistenceイベント — Runキー、スケジュールタスク、サービスなど、攻撃者が侵害システムで永続化を維持するために一般的に使用する手法に関連するイベント。

  • Processイベント — 他のライブプロセスでの任意コード実行。Processイベントには、プログラムの起動や関連するコマンドライン、親子関係、ホスト上で実行されたプログラムやコマンドに関するその他情報、メイン親実行ファイル(例:WindowsのPowerShell)によって起動されたターゲットプログラムの情報が含まれる場合があります。

  • Process Moduleイベント — 異なるプロセスによってライブラリがロードされた際に生成されるイベント。

  • Registryイベント — 特定のWindowsレジストリエントリのプロパティ。攻撃の検出に役立つ場合があります。

  • Script Blockイベント — 攻撃者や他のエンティティによってリモートエンドポイント上でコード(スクリプト)のブロックが実行された事例。

  • Taegis Agentイベント — Taegis Agentによって報告された検出。

  • テクニック発見事項イベント — エンドポイントエージェントやXDR外部の他のソースで観測された、不正な挙動の指標。

  • サードパーティアラートイベント — XDR外部のソースで生成されたアラートのイベント記録。

  • スレッドインジェクションイベント — スレッドが異なるターゲットプロセスのメモリアドレス空間内にコードを挿入し、実行した事例。

イベントからケースを作成する🔗

  1. イベント詳細ページの上部で、アクションドロップダウンを開き、新規ケースの作成を選択します。新規ケースの作成ダイアログが表示されます。

    新規ケース

  2. ケースのタイトルを入力し、優先度タイプを選択します。

  3. 主な発見事項テンプレートを空白またはセキュリティ調査として指定し、送信を選択します。ケースが作成されます。

既存のケースにイベントを追加する🔗

  1. イベント詳細ページの上部で、アクションドロップダウンを開き、既存のケースに追加を選択します。ケースに証拠を追加ダイアログが表示されます。
  2. イベントを追加したいケースを選択し、送信を選択します。