コンテンツにスキップ

系統(Lineage)🔗

注意

Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

プロセスおよび検知発見事項イベントのLineage(系統)タブでは、プロセスツリーの視覚的かつインタラクティブなビューが表示されます。これには、表示中のプロセスの祖先、存在する子プロセスの数、および各プロセスに関連付けられている検知の数が含まれます。これにより、一連のイベントがどのように発展したか、お客様の環境にどこで影響を与えた可能性があるか、そしてその結果が何であったかを理解するのに役立ちます。

系統の表示🔗

  1. プロセスまたは検知発見事項のイベント詳細ページを開いて系統にアクセスします。イベントは検索結果、ケース、検知の詳細ページから確認できます。
  2. イベント詳細から、Lineageタブを選択します。
  3. 表示中のプロセスと、その祖先および子プロセスを含むグラフが表示されます。

Lineageタブ

注意

Lineageは直近30日間のプロセスのみを表示します。30日より前のプロセスは表示されません。ソースプロセスイベント自体が30日以上前の場合、Lineageタブは無効になります。

ヒント

クエリエディターでプロセスおよび検知発見事項イベントを検索するには、次のクエリを使用してください:FROM process および FROM detectionfinding

系統の探索🔗

系統グラフには、利用可能な場合、以下の情報が表示されます:

Lineageグラフ

  1. プロセス作成日時
  2. プロセスが昇格していることを示すアイコン
  3. プロセス名
  4. 検知がプロセスに関連付けられていることを示すオレンジ色のハイライトアイコン
  5. 関連する検知主なアクティビティ、または関連イベントの数
  6. プロセスの隠された子プロセスの数
  7. 2つのプロセス間の時間差
  8. プロセスがブロックされていることを示すアイコン
  9. プロセスがソースイベントであることを示すアイコン

ヒント

グラフ右上のLegendツールチップを選択すると、グラフに表示される可能性のあるアイコンとその意味の一覧が確認できます。

Lineage Legend

プロセスの詳細を確認🔗

プロセスの詳細は、以下の方法で確認できます:

  • プロセスノードにカーソルを合わせると、基本情報、フルイメージパス、ユーザー名(管理者の場合は注釈付き)、およびイベント詳細を新しいタブで開くリンクが表示されます。

    プロセスにカーソルを合わせる

  • 系統内のプロセスノードをクリックすると、グラフ下部のInfoタブが開きます。

    Infoタブを開く

    Infoタブにはプロセスの詳細とコマンドラインが表示されます。Infoタブから以下のアクションが可能です:

    • Process Nameを選択すると、イベント詳細が新しいタブで開きます。
    • 各フィールド横の虫眼鏡を選択すると、そのフィールドを条件としたピボットサーチが実行されます。

ヒント

グラフ下部のタブ上部にあるハンドルを使ってサイズを変更できます。

主なアクティビティの確認🔗

グラフ下部のKey Activitiesタブには、選択したプロセスノードに関連付けられたSophos Endpoint Agentによって生成された主なアクティビティが表示されます。

注意

Key Activitiesタブは、お客様の環境にSophos Agentが存在する場合のみ表示されます。

Key Activitiesタブは、以下の2つの方法で表示できます:

  • グラフ内のプロセスノード下部のKey Activitiesリンクを選択
  • または、グラフ内のプロセスノードを選択し、Key Activitiesタブを選択

Key Activitiesタブを開く

主なアクティビティはSophos Agentから抽出され、セキュリティ上価値のあるエンドポイントイベントをキャプチャします。これらは、侵害の指標となり得るアクションを実行しているプロセスのスナップショットであり、不審な可能性があり、プロセス系統内で昇格が必要なものです。

主なアクティビティは以下で構成されます:

  • Event type:エンドポイントでトリガーされた基礎となる検知イベントによって抽出されたイベント
  • Activity value:イベントから抽出された主要データ

  • Raw Data:生データ全体。View Raw Dataをクリックするとドロワーで表示されます。

    Key Activity Raw Data

子プロセスの確認🔗

グラフ下部のChild Processesタブには、選択したプロセスノードの子プロセスイベントが表示されます。Child Processesタブは以下の2つの方法で表示できます:

  • グラフから子プロセス数を選択
  • または、グラフ内のプロセスノードを選択し、Child Processesタブを選択

Child Processesタブを開く

Process Nameを選択すると、イベント詳細が新しいタブで開きます。

系統内で子プロセスを表示🔗

これらの子プロセスを系統グラフに追加して、脅威の調査に役立てることができます。

  • 単一プロセスを追加するには、Actions列の目のアイコンをクリックします。再度クリックすると非表示になります。
  • 複数のプロセスを追加するには、左側のチェックボックスで追加したいプロセスを選択し、Add to Graphをクリックします。チェックボックスを使いRemove from Graphをクリックすると非表示にできます。

Child Processesタブを開く

関連する検知の確認🔗

グラフ下部のDetectionsタブには、選択したプロセスノードから生成された検知が表示されます。Detectionsタブは以下の2つの方法で表示できます:

  • グラフ内のプロセスノード下部の検知数を選択
  • または、グラフ内のプロセスノードを選択し、Detectionsタブを選択

Detectionsタブを開く

Detection Titleを選択すると、系統グラフの位置を維持したまま詳細がドロワーで開きます。

グラフ下部のRelated Eventsタブには、選択したプロセスノードに関連付けられた関連イベントや相関イベントが表示されます。相関は、テナントのデータレイク内でプロセス識別子が一致するイベントを検索するアルゴリズムによって行われます。つまり、同じプロセスから抽出されたイベントです。

これにより、環境内でキャプチャされた他の関連イベントタイプを調べることで、イベントの理解が深まります。

関連イベントは、グラフ内のプロセスノード下部にタイプ別にカウント付きでラベル表示されます。サポートされている関連イベントタイプは以下の通りです:

  • DNS (dnsquery)
  • File Mod (filemod)
  • HTTP (http)
  • Netflow (netflow)
  • Registry (registry)
  • Script Block (scriptblock)

その他のイベントタイプはOtherとして分類されます。

Related Eventsタブは以下の2つの方法で表示できます:

  • グラフ内のプロセスノード下部のRelated Eventsリンクを選択
  • または、グラフ内のプロセスノードを選択し、Related Eventsタブを選択

Related Eventsタブを開く

Next 3 Daysをクリックすると、プロセス作成後24時間のデフォルトウィンドウを超えて、3日単位で関連イベントの検索範囲を拡張できます。

系統のコピー🔗

表示されている系統グラフをノードのテキストベースのプロセスツリーとしてクリップボードにコピーするには、グラフ右上のCopyをクリックします。このコピーしたツリーをノートに貼り付けることで、ケースを強化できます。