コンテンツにスキップ

イベント系統🔗

注意

Taegis XDRでは、アラート および インベスティゲーション という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

プロセスおよび検知発見事項イベントの系統タブでは、プロセスツリーの視覚的かつインタラクティブなビューが表示され、閲覧中のプロセスの系譜、存在する子プロセスの数、および各プロセスに関連付けられている検知数が確認できます。これにより、一連のイベントがどのように発展したか、どこでお客様の環境に影響を与えた可能性があるか、そしてその結果がどうなったかを理解するのに役立ちます。

系統の表示🔗

  1. プロセスまたは検知発見事項のイベント詳細ページを開いて系統にアクセスします。イベントは検索結果、ケース、検知詳細ページから確認できます。
  2. イベント詳細から、系統タブを選択します。
  3. グラフには、閲覧中のプロセスとその系譜や子プロセスが表示されます。

系統タブ

注意

系統には直近30日間のプロセスのみが表示されます。30日より前のプロセスは表示されません。ソースプロセスイベント自体が30日より前の場合、系統タブは無効になります。

ヒント

クエリエディターで、FROM process および FROM detectionfinding のクエリを使用してプロセスおよび検知発見事項イベントを検索できます。

系統の探索🔗

系統グラフには、利用可能な場合、以下の情報が表示されます。

系統グラフ

  1. プロセスの作成日時
  2. プロセスが昇格していることを示すアイコン
  3. プロセス名
  4. 検知がプロセスに関連付けられていることを示すオレンジ色のハイライトアイコン
  5. 関連する検知主なアクティビティ、または関連イベントの数
  6. プロセスの隠された子プロセスの数
  7. 2つのプロセス間の時間差
  8. プロセスがブロックされていることを示すアイコン
  9. プロセスがソースイベントであることを示すアイコン

ヒント

グラフ右上の凡例ツールチップを選択すると、グラフに表示される可能性のあるアイコンとその意味の一覧が確認できます。

系統凡例

Search Lineage🔗

検索ボックスに文字列を入力して、読み込まれているイベント系統を検索できます。検索は読み込まれている系統および補助データに対して contains 検索として適用されます。該当する文字列や補助データを持つ系統プロセスノードがハイライトされます。

系統検索結果

前の3日間または次の3日間のボタンを使用してデータを読み込めます。新しいデータが読み込まれると、検索は自動的に適用されます。

ヒント

フィルタートグルを使用して、検索結果に一致する系統オブジェクトのみを読み込むことができます。

フィルター済み系統検索結果

一致する主なアクティビティの検索結果がハイライトされます。

主なアクティビティ検索結果

プロセスの詳細を確認🔗

プロセスの詳細は以下の方法で確認できます。

  • プロセスノードにカーソルを合わせると、基本情報、完全なイメージパス、ユーザー名(管理者の場合は注釈付き)、およびイベント詳細を新しいタブで開くリンクが表示されます。

    プロセスにカーソルを合わせる

  • 系統内のプロセスノードをクリックすると、グラフ下部のInfoタブが開きます。

    Infoタブを開く

    Infoタブにはプロセスの詳細とコマンドラインが表示されます。Infoタブから以下のアクションが可能です。

    • プロセス名を選択すると、イベント詳細を新しいタブで開きます。
    • フィールド横の虫眼鏡を選択すると、そのフィールドを条件にピボットサーチを実行します。

ヒント

グラフ下部のタブ上部にあるハンドルを使ってサイズを変更できます。

主なアクティビティの確認🔗

グラフ下部の主なアクティビティタブには、選択したプロセスノードに関連付けられたSophos Endpoint Agentによって生成された主なアクティビティが表示されます。

注意

主なアクティビティタブは、お客様の環境にSophos Agentが存在する場合のみ表示されます。

主なアクティビティタブは以下の2通りで表示できます。

  • グラフ内のプロセスノード下部の主なアクティビティリンクを選択
  • または、グラフ内のプロセスノードを選択し、主なアクティビティタブを選択

主なアクティビティタブを開く

主なアクティビティはSophos Agentから抽出され、セキュリティ上価値のあるエンドポイントイベントをキャプチャします。これらは、侵害の兆候となり得るアクションを実行しているプロセスのスナップショットであり、潜在的に不審で、系統内で昇格が必要なものです。

主なアクティビティは以下で構成されます。

  • イベントタイプ: エンドポイントでトリガーされた基礎となる検知イベントから抽出されたイベント
  • アクティビティ値: イベントから抽出された主要データ
  • 生データ: 生データオブジェクト全体。生データを表示をクリックするとドロワーで確認できます。

    主なアクティビティ生データ

子プロセスの確認🔗

グラフ下部の子プロセスタブには、選択したプロセスノードの子プロセスイベントが表示されます。子プロセスタブは以下の2通りで表示できます。

  • グラフから子プロセス数を選択
  • または、グラフ内のプロセスノードを選択し、子プロセスタブを選択

子プロセスタブを開く

プロセス名を選択すると、イベント詳細を新しいタブで開きます。

系統内で子プロセスを表示🔗

これらの子プロセスを系統グラフに追加して脅威調査に役立てることができます。

  • 単一プロセスを追加するには、アクション列のアイコンをクリックします。再度クリックすると非表示になります。
  • 複数のプロセスを追加するには、左側のチェックボックスで追加したいプロセスを選択し、グラフに追加をクリックします。チェックボックスを使いグラフから削除をクリックすると非表示にできます。

子プロセスタブの追加・削除

関連検知の確認🔗

グラフ下部の検知タブには、選択したプロセスノードから生成された検知が表示されます。検知タブは以下の2通りで表示できます。

  • グラフ内のプロセスノード下部の検知数を選択
  • または、グラフ内のプロセスノードを選択し、検知タブを選択

検知タブを開く

検知タイトルを選択すると、系統グラフの位置を維持したまま詳細をドロワーで開くことができます。

グラフ下部の関連イベントタブには、選択したプロセスノードに関連付けられた関連イベントや相関イベントが表示されます。相関は、テナントのデータレイク内でプロセス識別子が一致するイベントを検索するアルゴリズムによって行われます。つまり、同じプロセスから抽出されたイベントです。

これにより、環境内でキャプチャされた他の関連イベントタイプを調査することでイベントを理解できます。

関連イベントは、グラフ内のプロセスノード下部にタイプ別にカウント付きでラベル表示されます。サポートされている関連イベントタイプは以下の通りです。

  • DNS (dnsquery)
  • ファイル変更 (filemod)
  • HTTP (http)
  • Netflow (netflow)
  • レジストリ (registry)
  • スクリプトブロック (scriptblock)

その他のイベントタイプは「その他」として分類されます。

関連イベントタブは以下の2通りで表示できます。

  • グラフ内のプロセスノード下部の関連イベントリンクを選択
  • または、グラフ内のプロセスノードを選択し、関連イベントタブを選択

関連イベントタブを開く

次の3日間をクリックすると、プロセス作成後24時間のデフォルトウィンドウを超えて、3日単位で関連イベントの検索範囲を拡張できます。

系統のコピー🔗

表示されている系統グラフをテキストベースのプロセスツリーとしてクリップボードにコピーするには、グラフ右上のコピーをクリックします。このコピーしたツリーをノートに貼り付けてケースを強化できます。