コンテンツにスキップ

イベント系統🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

プロセスおよび検知発見イベントの「系統」タブでは、プロセスツリーの視覚的かつインタラクティブなビューが表示され、閲覧中のプロセスの系譜、存在する子プロセスの数、および各プロセスに関連付けられた検知の数が確認できます。これにより、一連のイベントがどのように発展したか、どこでお客様の環境に影響を与えた可能性があるか、そしてその結果がどうなったかを理解するのに役立ちます。

系統の表示🔗

  1. プロセスまたは検知発見のイベント詳細ページを開いて系統にアクセスします。イベントは検索結果、ケース、および検知詳細ページから確認できます。
  2. イベント詳細から、系統タブを選択します。
  3. グラフには、閲覧中のプロセスとその系譜や子プロセスが表示されます。

系統タブ

注意

系統には直近30日間のプロセスのみが表示されます。30日より前のプロセスは表示されません。ソースプロセスイベント自体が30日以上前の場合、系統タブは無効になります。

ヒント

詳細検索クエリ言語で、FROM process および FROM detectionfinding のクエリを使用してプロセスおよび検知発見イベントを検索できます。

系統の探索🔗

系統グラフには、利用可能な場合、以下の情報が表示されます。

系統グラフ

  1. プロセス作成日時
  2. プロセスが昇格していることを示すアイコン
  3. プロセス名
  4. 検知がプロセスに関連付けられていることを示すオレンジ色のハイライトアイコン
  5. 関連付けられた検知主なアクティビティ、または関連イベントの数
  6. プロセスの隠された子プロセスの数
  7. 2つのプロセス間の時間差
  8. プロセスがブロックされていることを示すアイコン
  9. プロセスがソースイベントであることを示すアイコン

ヒント

グラフ右上の凡例ツールチップを選択すると、グラフに表示される可能性のあるアイコンとその意味の一覧が確認できます。

系統凡例

プロセスの詳細を確認🔗

プロセスの詳細は、以下の方法で確認できます。

  • プロセスノードにカーソルを合わせると、基本情報、フルイメージパス、ユーザー名(管理者の場合は注釈付き)、およびイベント詳細を新しいタブで開くリンクが表示されます。

    プロセスにカーソルを合わせる

  • 系統内のプロセスノードをクリックすると、グラフ下部の「情報」タブが開きます。

    情報タブを開く

    情報タブにはプロセスの詳細とコマンドラインが表示されます。情報タブから以下の操作が可能です。

    • プロセス名を選択して、イベント詳細を新しいタブで開きます。
    • フィールド横の虫眼鏡を選択して、そのフィールドを基にピボットサーチを実行します。

ヒント

グラフ下部のタブ上部にあるハンドルを使ってサイズを変更できます。

主なアクティビティの確認🔗

グラフ下部の「主なアクティビティ」タブには、選択したプロセスノードに関連付けられた、Sophos Endpoint Agentによって生成された主なアクティビティが表示されます。

注意

主なアクティビティタブは、お客様の環境にSophos Agentが存在する場合のみ表示されます。

主なアクティビティタブは、以下の2通りの方法で表示できます。

  • グラフ内のプロセスノード下部の主なアクティビティリンクを選択します。
  • または、グラフ内のプロセスノードを選択し、主なアクティビティタブを選択します。

主なアクティビティタブを開く

主なアクティビティは、エンドポイントイベントのうちセキュリティ上価値のあるものを検出するSophos Agentから抽出されます。これらは、侵害の指標となり得る、または不審な可能性があり、プロセス系統内で昇格が必要なアクションを実行しているプロセスのスナップショットです。

主なアクティビティは以下で構成されます。

  • イベントタイプ: エンドポイントでトリガーされた基礎となる検知イベントによって抽出されたイベント
  • アクティビティ値: イベントから抽出された主要データ

  • 生データ: 生データオブジェクト全体。生データを表示をクリックすると、ドロワーで確認できます。

    主なアクティビティ生データ

子プロセスの確認🔗

グラフ下部の「子プロセス」タブには、選択したプロセスノードの子プロセスイベントが表示されます。子プロセスタブは、以下の2通りの方法で表示できます。

  • グラフから子プロセス数を選択します。
  • または、グラフ内のプロセスノードを選択し、子プロセスタブを選択します。

子プロセスタブを開く

プロセス名を選択すると、イベント詳細が新しいタブで開きます。

系統内で子プロセスを表示🔗

これらの子プロセスを系統グラフに追加して、脅威の調査に役立てることができます。

  • 単一プロセスを追加するには、「アクション」列のアイコンをクリックします。再度クリックするとプロセスが非表示になります。
  • 複数のプロセスを追加するには、左側のチェックボックスで追加したいプロセスを選択し、グラフに追加をクリックします。チェックボックスを使いグラフから削除をクリックするとプロセスを非表示にできます。

子プロセスタブを開く

関連検知の確認🔗

グラフ下部の「検知」タブには、選択したプロセスノードから生成された検知が表示されます。検知タブは、以下の2通りの方法で表示できます。

  • グラフ内のプロセスノード下部の検知数を選択します。
  • または、グラフ内のプロセスノードを選択し、検知タブを選択します。

検知タブを開く

検知タイトルを選択すると、系統グラフの位置を維持したまま、詳細がドロワーで開きます。

グラフ下部の「関連イベント」タブには、選択したプロセスノードに関連付けられた、相関されたイベントが表示されます。相関は、テナントのデータレイク内でプロセス識別子が一致するイベントを検索するアルゴリズムによって行われます。つまり、同じプロセスから抽出されたイベントです。

これにより、環境内で取得された他の関連イベントタイプを調べることで、イベントの理解が深まります。

関連イベントは、グラフ内のプロセスノード下部にタイプ別でカウント付きでラベル表示されます。サポートされている関連イベントタイプは以下の通りです。

  • DNS (dnsquery)
  • ファイル変更 (filemod)
  • HTTP (http)
  • Netflow (netflow)
  • レジストリ (registry)
  • スクリプトブロック (scriptblock)

その他のイベントタイプは「その他」として分類されます。

関連イベントタブは、以下の2通りの方法で表示できます。

  • グラフ内のプロセスノード下部の関連イベントリンクを選択します。
  • または、グラフ内のプロセスノードを選択し、関連イベントタブを選択します。

関連イベントタブを開く

次の3日間をクリックすると、プロセス作成後24時間のデフォルトウィンドウを超えて、3日単位で関連イベントの検索範囲を拡大できます。

系統のコピー🔗

表示されている系統グラフを、ノードのテキストベースのプロセスツリーとしてクリップボードにコピーするには、グラフ右上のコピーをクリックします。このコピーしたツリーをケースのノートに貼り付けて活用できます。