コンテンツにスキップ

エンティティの詳細🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

エンティティの詳細ページでは、脅威インテリジェンスデータ、ジオロケーション、普及情報、関連する検出、ケース、イベントを表示し、エンティティに関するより深いコンテキストを提供します。この包括的なビューにより、エンティティの重要性やセキュリティインシデントへの関与を理解できます。

エンティティの詳細ページには、以下からエンティティを選択してアクセスできます。

エンティティ詳細のコアコンポーネント🔗

すべてのエンティティタイプには、以下のコアコンポーネントを表示する詳細ページがあります。

エンティティのプロパティ🔗

エンティティの詳細のサマリーセクションでは、エンティティに直接関連するデータが表示されます。これには以下が含まれます。

  • エンティティのタイプ
  • 最後に確認された日時
  • ユーザーが管理者かどうかなど、エンティティ固有のアトリビュート
  • エンティティタイプに関連するその他のコンテキスト情報

ユーザープロパティの例

このセクションでは、エンティティに関連するオープンおよびクローズ済みの検出、ケース、イベントの数が表示されます。

関連する検出、ケース、イベント

  • 検出 はタイトルごとに集計されます。
  • イベント はイベントタイプごとに集計されます。
  • このセクションの下部にある すべて表示 を選択すると、完全な結果を含む詳細検索クエリにリダイレクトされます。

関連エンティティ🔗

関連エンティティのセクションでは、検出やケースのコンテキストで、このエンティティと直接関連する他のエンティティが表示されます。どこから詳細ページに遷移したかによって内容が異なります。

関連エンティティの例

  • 検出ページからIPアドレスのエンティティ詳細ページにアクセスした場合、関連エンティティにはその検出のコンテキストでこのIPアドレスに関連するすべてのエンティティが表示されます。
  • ケースからアクセスした場合は、そのケースのコンテキストでこのIPアドレスに直接関連するすべてのエンティティが表示されます。

エンリッチメントプレイブック🔗

エンリッチメントプレイブックのセクションでは、エンティティに対して設定済みプレイブックを実行し、その結果を表示できます。たとえば、IDシステムでユーザーを検索したり、外部の脅威インテリジェンスでIPアドレスをエンリッチメントできます。

エンリッチメントプレイブック

注意

エンリッチメントプレイブックは、エンティティの詳細ページに表示される前に自動化で設定する必要があります。

ピボットサーチタブでは、エンティティを起点に、検出、イベント、ケースにまたがる関連テレメトリーを、設定可能な時間範囲で検索できます。

ピボットサーチ - 検出

ピボットサーチ - イベント

ピボットサーチを利用して以下を行えます。

  • 異なるデータソースにまたがるエンティティのアクティビティを調査
  • 時間範囲を調整して検索範囲を拡大または絞り込み
  • エンティティに関連するパターンや異常を迅速に特定

アクションメニュー🔗

アクションメニューでは、エンティティに対して設定済みの対応アクションを実行できます。

アクションメニューの例

注意

利用可能なアクションは、お客様の自動化設定およびユーザー権限によって異なります。

エンティティ固有のセクション🔗

一部のエンティティタイプには、そのタイプに関連する追加情報を表示するカスタマイズされたセクションがあります。

ユーザーエンティティ🔗

ユーザーエンティティは、異常な挙動の特定に役立つ包括的な認証およびアクティビティ情報を提供します。

プライベートIPアドレスからの最新認証🔗

このセクションでは、プライベートIPレンジからのユーザー認証に関与した最新のIPアドレスが表示されます。

プライベートIPからの認証 - カードレイアウト

このセクションはカードレイアウトとテーブルレイアウトの両方で利用できます。右上のボタンでレイアウトを切り替えられます。

プライベートIPからの認証 - テーブルレイアウト

パブリックIPアドレスからの認証🔗

このセクションでは、パブリックIPレンジからのユーザー認証に関与したIPアドレスが表示されます。以下の4つのサブタブがあります。

  • Common — 30日間でユーザー認証に最も多く関与したIPアドレスを表示します。

    一般的なパブリックIP - カードレイアウト

  • Least Common — 30日間でユーザー認証に最も少なく関与したIPアドレスを表示します。

    最も少ないパブリックIP - テーブルレイアウト

  • Last Observed — 30日間でユーザー認証に関与した最新のIPアドレスを表示します。

    最新のパブリックIP

  • ASN — 30日間でユーザー認証に関与したIPアドレスのうち、最も多い自律システム番号(ASN)を表示します。

    一般的なASN - テーブルレイアウト

ヒント

これらのサブタブはすべてテーブルビューで並べ替え可能です。テーブルビューには30日間に関与したすべてのIPアドレスが含まれます。

ホスト🔗

このセクションでは、ユーザーが認証した、または認証元となった最新および最も一般的なホストが表示され、カードレイアウトとテーブルレイアウトの両方で利用できます。

ホスト - カードレイアウト

ログイン🔗

このセクションでは、過去30日間のユーザーのログイン試行のヒストグラムが表示されます。

1日あたりのログイン数

このヒストグラムを利用して以下を特定できます。

  • 認証アクティビティの異常な急増
  • 非アクティブな期間
  • 通常の挙動から逸脱したログインパターン

ドメインおよび認証ドメインエンティティ🔗

ドメインおよび認証ドメインエンティティは、脅威インテリジェンスおよび通信テレメトリーを提供します。

ドメインの詳細

脅威インテリジェンス🔗

このセクションでは、Secureworks Counter Threat Unit™ (CTU)、VirusTotal、APIVoidから取得したドメインの脅威インテリジェンスが表示されます。

ヒント

脅威インテリジェンスが利用可能なエンティティには、脅威インテリジェンスシールドアイコンが表示され、潜在的に不正なものであることを示します。

ドメインへのHTTP通信🔗

このセクションでは、このドメインをターゲットとしたHTTPテレメトリーが存在するかどうかを表示します。

ドメインのDNSルックアップ元IP🔗

このセクションでは、このドメインに関連するDNSテレメトリーと、その発信元を表示します。

ファイルエンティティ🔗

ファイルエンティティは、普及情報および関連イベントデータを提供します。

ファイルの詳細

ホストにおけるFileHashの普及状況🔗

ファイルの詳細

ファイルにファイルハッシュが関連付けられている場合、このセクションではどのホストがこのハッシュのテレメトリーを報告したかを表示します。これを利用して以下を行えます。

  • ファイルが環境全体でどれだけ広がっているかを把握
  • 潜在的に侵害されたホストを特定
  • インシデントの影響範囲を評価

その他のイベント🔗

このセクションでは、このファイルを含む関連イベントタイプが表示されます。

FileHashエンティティ🔗

FileHashエンティティは、ファイルエンティティと同様の情報を提供しますが、ハッシュ値に焦点を当てています。

FileHashの詳細

ホストにおけるFileHashの普及状況🔗

このセクションでは、このファイルハッシュのテレメトリーを報告したホストが表示されます。

その他のイベント🔗

このセクションでは、このファイルハッシュを含む関連イベントタイプが表示されます。

ホストエンティティ🔗

ホストエンティティは、セキュリティ体制やエージェントの詳細を含む包括的なエンドポイント情報を提供します。

Taegisセンサー付きホストの詳細

脆弱性タブ🔗

脆弱性タブでは、VDRで資産にマッピングされている場合、ホストのスキャン済み脆弱性が表示されます。マッピングプロセスの詳細は資産マッピングロジックを参照してください。

ホストの脆弱性

脆弱性タブを利用して以下を行えます。

  • ホストのセキュリティ上の弱点を特定
  • パッチ適用の優先順位付け
  • 潜在的な攻撃経路の把握

エージェントの詳細🔗

このセクションでは、エンドポイント詳細ページと同じエージェント情報が表示されます。

  • エージェントバージョン
  • エージェントステータス
  • 最後に確認されたタイムスタンプ
  • 設定の詳細

エンドポイントの詳細🔗

このセクションでは、エンドポイント詳細ページと同じエンドポイント情報が表示されます。

  • オペレーティングシステム
  • ハードウェア仕様
  • ネットワーク構成

コマンド履歴🔗

このセクションでは、エンドポイント詳細ページと同じコマンド履歴が表示されます。

  • エンドポイントで実行されたコマンド
  • 実行タイムスタンプ
  • コマンドのユーザーコンテキスト

エンドポイント履歴🔗

このセクションでは、エンドポイント詳細ページと同じエンドポイント履歴が表示されます。

  • エージェントのインストールおよび更新
  • 設定変更
  • 接続イベント

IPアドレスエンティティ🔗

IPアドレスエンティティは、ジオロケーション、脅威インテリジェンス、ネットワーク通信データを提供します。

IPアドレスの詳細

脅威インテリジェンス🔗

このセクションでは、Secureworks Counter Threat Unit™ (CTU)、VirusTotal、APIVoidから取得したIPアドレスの脅威インテリジェンスが表示されます。

ジオロケーション🔗

このセクションでは、IPアドレスのジオロケーション情報(国、地域/州、市、座標、組織/ISPなど)が表示されます。

  • 地域/州
  • 座標
  • 組織/ISP

宛先ポート別の送信通信🔗

このセクションでは、このIPアドレスのnetflowテレメトリーを表示し、宛先IPアドレスとポートごとに集計します。これを利用して以下を行えます。

  • 異常なアウトバウンド接続の特定
  • 潜在的なデータ流出の検出
  • 通常の通信パターンの把握

宛先ポート別の受信通信🔗

このセクションでは、このIPアドレスのnetflowテレメトリーを表示し、送信元IPアドレスとポートごとに集計します。これを利用して以下を行えます。

  • 外部からの接続試行の特定
  • 潜在的なスキャンや攻撃活動の検出
  • インバウンドトラフィックパターンの監視

IPアドレスに関連付けられたユーザー🔗

このセクションでは、認証やHTTPイベントを通じてこのIPアドレスに関連するユーザーが表示されます。

IPアドレスに関連付けられたユーザー

その他のイベント🔗

このセクションでは、このIPアドレスを含む関連イベントタイプが表示されます。

IPアドレスのその他のイベント

プロセスエンティティ🔗

プロセスエンティティは、プロセスの実行詳細および系統情報を提供します。

プロセスの詳細

プロセスツリー🔗

プロセスツリーは、プロセスの親子関係および子プロセスを表示し、完全な実行チェーンを調査することができます。

プロセスツリー付きプロセスの詳細

Secureworks® Taegis™ XDRのプロセスイベントツリーを利用して以下を行えます。

  • プロセスイベントの親子関係を探索
  • ホストIDを起点としたピボットサーチ
  • プロセスやユーザーが昇格権限を持つかどうかの確認
  • プロセスの関係性や実行フローの把握

注意

プロセスツリーには過去30日間のプロセスのみが表示され、それ以前のプロセスは表示されません。

ヒント

プロセスツリーの視覚的かつインタラクティブなビューについては、プロセスイベント系統を参照してください。

ベストプラクティス🔗

エンティティの詳細ページを利用する際は、以下のベストプラクティスを考慮してください。

  • 複数のセクションを確認: 単一のデータポイントに頼らず、すべての利用可能なセクションを確認してエンティティを包括的に理解してください。
  • 時間範囲を効果的に活用: ピボットサーチで時間範囲を調整し、関連データの発見と情報過多の回避のバランスを取ってください。
  • エンリッチメントプレイブックを活用: エンリッチメントプレイブックを設定・活用し、外部ソースから追加コンテキストを自動収集してください。
  • レイアウトを切り替え: 対応しているセクションでは、分析ニーズに応じてカードとテーブルのレイアウトを切り替えてください。
  • 調査の流れを追う: 関連エンティティや関連検出を活用して調査範囲を拡大してください。
  • 異常を監視: 脅威インテリジェンス指標や認証・通信データの異常パターンがあるエンティティに特に注意してください。