プロセスイベントの系統🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近検出および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

プロセスイベントの系統は、プロセスツリーの視覚的かつインタラクティブなビューを表示し、閲覧中のプロセスの系譜、存在する子プロセスの数、および各プロセスに関連付けられている検知の数を示します。これにより、一連のイベントがどのように発展したか、どこでお客様の環境に影響を与えた可能性があるか、そしてその結果がどうなったかを理解するのに役立ちます。

系統の表示🔗

プロセスのイベント詳細ページを開いて系統にアクセスします。イベントは検索結果、ケース、検知の詳細ページから確認できます。
プロセスイベントの詳細から、系統タブを選択します。
グラフには、閲覧中のプロセスとその系譜や子プロセスが表示されます。

注意

系統は直近30日間のプロセスのみを表示します。それより前のプロセスは表示されません。ソースプロセスイベント自体が30日以上前の場合、系統タブは無効になります。

ヒント

詳細検索クエリ言語でプロセスイベントを検索するには、次のクエリを使用します: FROM process。

系統の探索🔗

系統グラフには以下の情報が表示されます。

プロセス作成日時
プロセスが昇格していることを示すアイコン
プロセス名
プロセスに検知が関連付けられていることを示すオレンジ色のハイライトアイコン
プロセスに関連付けられている検知の数
プロセスの隠された子プロセスの数
2つのプロセス間の時間差
プロセスがブロックされていることを示すアイコン
プロセスがソースイベントであることを示すアイコン

ヒント

グラフ右上の凡例ツールチップを選択すると、グラフに表示される可能性のあるアイコンとその意味の一覧が表示されます。

プロセスの詳細を確認🔗

プロセスの詳細は以下の方法で確認できます。

プロセスノードにカーソルを合わせると、基本情報、フルイメージパス、ユーザー名（管理者の場合は注釈付き）、およびイベント詳細を新しいタブで開くリンクが表示されます。

プロセスにカーソルを合わせる
系統内のプロセスノードをクリックすると、グラフ下部のInfoタブが開きます。

Infoタブを開く

Infoタブにはプロセスの詳細とコマンドラインが表示されます。Infoタブから以下のアクションを実行できます。
- プロセス名を選択して、イベント詳細を新しいタブで開きます。
- フィールド横の虫眼鏡を選択して、そのフィールドを基にピボットサーチを実行します。

ヒント

グラフ下部のタブ上部にあるハンドルを使ってサイズを変更できます。

子プロセスの確認🔗

グラフ下部の子プロセスタブには、選択したプロセスノードの子プロセスイベントが表示されます。子プロセスタブは次の2通りで表示できます。

グラフから子プロセスの数を選択します。
または、グラフ内のプロセスノードを選択し、子プロセスタブを選択します。

プロセス名を選択すると、イベント詳細が新しいタブで開きます。

系統内で子プロセスを表示🔗

これらの子プロセスを系統グラフに追加して、脅威の調査に役立てることができます。

単一のプロセスを追加するには、アクション列の目アイコンをクリックします。再度クリックするとプロセスが非表示になります。
複数のプロセスを追加するには、左側のチェックボックスで追加したいプロセスを選択し、グラフに追加をクリックします。チェックボックスを使いグラフから削除をクリックするとプロセスを非表示にできます。

系統のコピー🔗

表示されている系統グラフをテキストベースのプロセスツリーとしてクリップボードにコピーするには、グラフ右上のコピーをクリックします。このコピーしたツリーをノートに貼り付けてケースを強化できます。