エンティティグラフの探索

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

エンティティグラフは、関連するデータを関与するエンティティと相関させて視覚的に表現し、アナリストがセキュリティインシデントの範囲を理解し、根本原因を特定するのに役立ちます。

エンティティグラフを使用すると、エンティティ間の関係や詳細を把握し、異なるデータソース間の接続を簡単に確認でき、エンティティが攻撃の一部であることを可視化できます。エンティティグラフにより、アナリストは貴重なインサイトを得て、調査プロセスを迅速化できます。

エンティティグラフへのアクセス方法:

• 調査の右上

  

  調査からエンティティグラフを開く

• アラートの右上

  

  アラートからエンティティグラフを開く

• 調査テーブルのアクション列

  

  調査テーブルからエンティティグラフを開く

機能

エンティティグラフを活用することで、以下が可能です:

• エンティティ間の接続を可視化。 ビジュアルグラフはエンティティの関係を表示し、異なるデータソース間の接続を簡単に確認できます。これにより、エンティティが攻撃にどのように関与しているかを包括的に把握できます。
• エンティティノードを選択して追加のインサイトを取得。 エンティティのプロパティ、関連アラート、関連エンティティ、脅威インテリジェンス（利用可能な場合）などを確認できます。
• エッジを選択して、その関係に含まれるアラートやイベントを把握。

エンティティグラフの探索

エンティティグラフは、左側のインタラクティブグラフと右側のタブの2つの主要なセクションに分かれています。

エンティティグラフ

インタラクティブグラフは、ノードとしてエンティティを、エッジとしてエンティティ間の関係やアクティビティを矢印付きの線で表現します。

ヒント

サポートされているエンティティの説明はエンティティタイプ、関係の説明は関係タイプをご覧ください。

エンティティグラフの概要

1. 各ノードはエンティティを表します。ノードを選択すると、エンティティの詳細が詳細タブに表示されます。
2. 各エッジは、接続されたエンティティ間の関係やアクティビティを表し、矢印で方向を示します。線を選択すると、関係の詳細が詳細タブに表示されます。
3. エッジ名の後に数字が表示されている場合、そのアクティビティがその回数発生したことを示します。
4. 脅威インテリジェンスが利用可能で不正の可能性があるノードには、グラフやテーブルに脅威インテリジェンスアイコンが表示されます。
5. 青い数字は、折りたたまれている送信エッジの数を示します。ノードをダブルクリックすると送信エッジが展開されます。
6. 青いマイナス記号（−）は送信エッジが展開されていることを示します。ノードをダブルクリックすると送信エッジが折りたたまれます。

以下のコントロールでグラフを調整できます:

• パネルの調整 — グラフとタブの間の区切り線を選択してドラッグし、パネルのサイズを調整します。または、区切り線上部の折りたたみ/展開アイコンを選択してタブパネルを折りたたみ/展開します。
• グラフレイアウトの調整 — ノードを選択してドラッグし、グラフのレイアウトを調整します。
• グラフの移動 — ノード以外の部分を選択してドラッグし、グラフ全体を移動します。
• ズーム — グラフ左側のズームボタンを選択するか、グラフ内でスクロールして拡大・縮小します。
• 中央揃え＆フィット — グラフ左側の中央揃え＆ウィンドウにフィットボタンを選択して、表示をリセットします。
• ダウンロード — 画像をダウンロードボタンを選択して、グラフをPNGファイルとして保存します。
• 選択解除 — 選択したすべてのエンティティをグラフから解除します。

詳細タブ

右側パネルの詳細タブは、エンティティ、関係、またはタブや左側グラフからアラートを選択した際に内容が表示されます。詳細は以下のタブセクションをご覧ください。

エンティティタブ

右側パネルのエンティティタブには、調査またはアラートに関連するすべてのエンティティのテーブルが表示されます。行の左側にあるチェックボックスで1つ以上のエンティティを選択すると、グラフ内でそのエンティティと関係がハイライトされます。左側のグラフからノードを選択すると、テーブルもそのエンティティを選択状態に更新します。

エンティティタブ

エンティティ名を選択すると、エンティティの詳細が詳細タブで開きます。

エンティティテーブルをカスタマイズするには、列ヘッダー横のメニューアイコンを選択し、以下の操作が可能です:

• メニュータブからピン留め、自動サイズ調整、リセットを選択
• フィルタータブ（利用可能な場合）からテキスト入力やチェックボックスで列内容をフィルタリング
• カラムタブからテーブルに表示する列を選択

ヒント

サポートされているエンティティの説明はエンティティタイプをご覧ください。

関係タブ

右側パネルの関係タブには、すべてのエンティティ間の関係テーブルが表示されます。行の左側にあるチェックボックスで1つ以上の関係を選択すると、グラフ内でその関係がハイライトされます。左側のグラフからエッジを選択すると、テーブルもその関係を選択状態に更新します。

関係タブ

行から関係タイプを選択すると関係の詳細が詳細タブで開き、ソースまたはターゲットエンティティを選択するとエンティティの詳細が詳細タブで開きます。

関係テーブルをカスタマイズするには、列ヘッダー横のメニューアイコンを選択し、以下の操作が可能です:

• メニュータブからピン留め、自動サイズ調整、リセットを選択
• フィルタータブ（利用可能な場合）からテキスト入力やチェックボックスで列内容をフィルタリング
• カラムタブからテーブルに表示する列を選択

ヒント

関係の説明は関係タイプをご覧ください。

アラートタブ

右側パネルのアラートタブには、調査に関連するすべてのアラートのテーブルが表示されます。行の左側にあるチェックボックスで1つ以上のアラートを選択すると、そのアラートに属するエンティティや関係がグラフ内でハイライトされます。エンティティを選択すると、テーブルも関連するアラートを選択状態に更新します。

アラートタブ

アラートタイトルを選択すると、詳細タブでアラートの概要が開き、フルアラートを新しいタブで開くオプションもあります。詳細はアラート詳細をご覧ください。

アラートテーブルをカスタマイズするには、列ヘッダー横のメニューアイコンを選択し、以下の操作が可能です:

• メニュータブからピン留め、自動サイズ調整、リセットを選択
• カラムタブからテーブルに表示する列を選択

エクスプローラタブ

右側パネルのエクスプローラタブは、エンティティの詳細から関連エンティティを探索オプションを選択した際に表示され、選択したエンティティに関連するアラート、イベント、調査が表示されます。検索条件は、最初に接続されたイベントから15分以内に見つかったエンティティがデフォルトです。上部のフィールドで条件を調整し、検索を選択します。

エクスプローラタブの検索条件調整

右側のテーブルで関連アラートやイベントを確認し、左側のチェックボックスで1つ以上選択した後、以下のいずれかのオプションを選択できます:

• グラフに表示 — 関連アラートやイベントに関連するエンティティと関係をグラフに追加します。グラフに追加されたが調査に追加されていない関連アラートやイベントは、行の左側にグレーのアイコンで表示されます。
• 調査に追加 — アラートやイベントを調査に追加します。調査に追加された関連アラートやイベントは、行の左側に青いアイコンで表示されます。

関連エンティティオプション

エンティティの詳細を表示

グラフからエンティティノード、またはテーブルからエンティティ名を選択すると、詳細タブでエンティティの詳細が開き、追加のインサイトを得ることができます。

エンティティの詳細には、エンティティの基本プロパティや、利用可能な場合は脅威インテリジェンスが含まれます。

エンティティの詳細

ヒント

脅威インテリジェンスが利用可能で不正の可能性があるノードには、グラフやテーブルに脅威インテリジェンスアイコンが表示されます。

詳細から関連エンティティを探索を選択すると、エクスプローラタブで選択したエンティティに関連するイベント、アラート、調査を検索できます。

関連エンティティを探索

CEL Explorerでエンティティを表示

アクションメニューからCEL Explorerで表示を選択し、Automationsの設定で使用するために、表示されているデータに対してCEL式の結果をテストします。詳細については、CEL Explorerを参照してください。

CEL Explorerでエンティティを表示

エンティティに対する対応アクションの実行

テナントで関連する自動化が設定されている場合、エンティティに対して対応アクションを実行できます。エンティティタブテーブルのアクション列、またはエンティティの詳細タブからメニューアイコンを選択してください。

エンティティテーブルから対応アクションを実行

詳細タブから対応アクションを実行

ヒント

調査の証拠タブ内のエンティティサブタブからもエンティティに対して対応アクションを実行できます。詳細は調査の実施をご覧ください。

エンティティの関係

2つのエンティティを結ぶエッジ（線）は、それらの間の関係やアクティビティを表します。エッジは、該当する場合、アクティビティの結果を示す色で表示されます:

• 赤はアクティビティが失敗したこと（例: ログイン失敗）を示します。
• 緑はアクティビティが成功したこと（例: ログイン成功）を示します。

エンティティの関係

エッジラベルの後に数字がある場合、そのアクティビティがその回数試行されたことを示します。たとえば、上記画像では、ハイライトされたユーザーが14.98.176.182 IPによって2回認証に成功しています。

関係の詳細を表示

グラフからエッジ、または関係タブテーブルから関係タイプを選択すると、詳細タブで関係の詳細が開き、追加のインサイトを得ることができます。

関係の詳細には、関係の詳細な概要が含まれ、ソースおよびターゲットエンティティや関連アラートが含まれる場合があります。

関係の詳細

エンティティタイプ

エンティティグラフで利用可能なエンティティタイプは以下の通りです。

エンティティ	説明
AuthDomain	認証ドメイン（Auth Domain）は、認証および認可の目的でユーザーやシステムを論理的にグループ化したものです。アクセス制御の管理に役立ちます。
Certificate	証明書は、ネットワーク内のエンティティの身元を検証するために使用されるデジタル文書です。通常、安全な通信の文脈で利用され、証明書の所有者や発行者に関する情報を含みます。
CloudObject	クラウドオブジェクトは、クラウド環境に保存されている特定のアイテムやファイルを表します。これにはドキュメント、画像、その他クラウドストレージシステムにホストされているデジタルオブジェクトが含まれます。
CloudResource	クラウドリソースは、クラウド環境でホストされているデジタル資産やコンポーネントを指します。仮想マシン、ストレージバケット、データベース、その他クラウドベースのサービスが含まれます。
DNSServer	DNS（ドメインネームシステム）サーバーは、ドメイン名をIPアドレスに変換し、ユーザーが人間が読みやすい名前でウェブサイトやリソースにアクセスできるようにするネットワークサーバーです。
DomainName	ドメイン名は、インターネット上のリソースにアクセスするための人間が読みやすいラベルです。通常、ウェブサイトやオンラインサービスを表し、1つ以上のIPアドレスに紐付けられています。
Email	Emailは、ネットワーク上でユーザー間で送信される電子メッセージを表します。送信者・受信者情報、メッセージ内容、メタデータが含まれます。
EmailAddress	Emailアドレスは、Emailの送受信に使用される一意の識別子です。通常、ユーザー名、"@"記号、ドメイン名で構成されます。
File	ファイルは、コンピュータやサーバーに保存されたデジタル文書やデータを指します。テキスト、画像、音声、実行ファイルなど様々なタイプがあります。
FileHash	ファイルハッシュは、ファイルの内容から生成される暗号学的な値です。ファイルの完全性検証や改ざん検出に使用されます。
Function	サイバーセキュリティの文脈では、Functionはプログラムやシステム内で特定のタスクや操作を実行するソフトウェア関数やルーチンを指します。
Host	ホストは、ネットワーク上でデータの送受信が可能なコンピュータやデバイスです。サイバーセキュリティの文脈では、セキュリティイベントの監視対象となるシステム（サーバー、ワークステーション、ルーター、その他ネットワーク機器など）を指します。
IP Address	IPアドレスは、コンピュータネットワークに接続された各デバイスに割り当てられる数値ラベルです。ネットワーク内での通信の識別子として機能します。
Process	プロセスは、コンピュータ上で実行中のプログラムのインスタンスです。命令セットの実行を表し、挙動やセキュリティ関連イベントの監視対象となります。
RegistryKey	レジストリキーは、Windowsオペレーティングシステムで構成設定やその他システム関連情報を保存するための階層構造です。
ScheduledTask	スケジュールタスクは、コンピュータやサーバー上で特定の時刻や間隔で実行される自動化されたジョブやプロセスです。
Script	スクリプトは、スクリプト言語やプログラミング言語で記述された命令セットです。タスクの自動化、アクションの実行、特定の機能の実行などに利用されます。
Service	サービスは、バックグラウンドで動作し、コンピュータやネットワークに特定の機能やサービスを提供するソフトウェアコンポーネントやアプリケーションを指します。ウェブサーバー、データベースサーバーなどが含まれます。
TaskAction	タスクアクションは、スケジュールタスクに関連付けられた特定のアクションや操作（例: スクリプトやプログラムの実行）を表します。
User	ユーザーは、コンピュータシステム、ネットワーク、アプリケーションへの認可されたアクセス権を持つ個人またはエンティティです。ユーザーの活動は、セキュリティや運用目的で監視されます。

関係タイプ

関係	説明	例
Auths	Auths関係は認証を表します。1つのエンティティ（多くはユーザーやプロセス）が、他のエンティティ（ユーザーやホストなど）を認証することを示唆します。	ユーザーはHostエンティティとAuths関係を持ち、ホストへの認証が可能であることを示します。 ユーザーはIpAddressエンティティとAuths関係を持ち、IPアドレスから認証できることを示します。 プロセスはUserエンティティとAuths関係を持ち、ユーザーの認証リクエストを作成できることを示します。
Connects	Connects関係は、1つのエンティティが他のエンティティと接続を確立することを示します。この接続は、エンティティ間の通信やデータ交換を伴います。	HostエンティティはIPや他のエンティティとConnects関係を持ち、それらと接続や通信を確立することを示します。 プロセスはIPや他のエンティティとConnects関係を持ち、接続や通信を開始できることを示します。
ConnectsWith	ConnectsWith関係は、特定のエンティティとの接続関係を表します。	プロセスはIPアドレスとConnectsWith関係を持ち、特定のIPアドレスと接続や通信を確立することを示します。 ホストはIPアドレスとConnectsWith関係を持ち、特定のIPアドレスと接続や通信が可能であることを示します。
Executes	Executes関係は、1つのエンティティがプロセスを開始・実行することを示します。ユーザーやホストなどのエンティティがプロセスを実行・管理できる能力を強調します。	ホストはProcessエンティティとExecutes関係を持ち、プロセスの実行が可能であることを示します。 ユーザーはProcessエンティティとExecutes関係を持ち、プロセスの実行が可能であることを示します。
ExecutesAs	ExecutesAs関係は、主にホストが他のエンティティ（多くはユーザー）のIDや権限でプロセスを実行することを示します。この関係は、システム上のプロセスの実行コンテキストを反映します。	ホストはUserエンティティとExecutesAs関係を持ち、特定ユーザーの代理でプロセスやアクションを実行することを示します。
ExecutesCloudEvent	ExecutesCloudEvent関係は、クラウドユーザーエンティティがクラウドオブジェクトやリソースに対してクラウド関連のイベントやアクションを実行することを示します。	クラウドユーザー（個人やサービスアカウントなど）はクラウドイベントを実行できます。これには、クラウドリソースの作成・変更、自動化ワークフローのトリガー、クラウドストレージへのデータアクセスなどが含まれます。 クラウドオブジェクト（仮想マシン、データベース、ストレージバケットなど）は、クラウドユーザーによって実行されるクラウドイベントの対象となります。これには、仮想マシンの起動・停止、データベーステーブルの作成、ストレージバケットへのデータアップロードなどが含まれます。
ExecutesCloudEventAs	ExecutesCloudEventAs関係は、IPアドレスエンティティがクラウドユーザーのIDやコンテキストでクラウド関連イベントを実行することを示します。クラウド環境でのアクションを反映します。	IPアドレスは、クラウド環境内でクラウドユーザーや他のエンティティの代理でクラウド関連イベントやアクションを実行することがよくあります。 クラウドユーザーは、特定のタスクやアクションをIPアドレスに委任し、IPアドレスがユーザーの代理でそれらを実行します。
Has	Has関係は所有や関連付けを示します。ファイルやリソースとの文脈で使用される場合、1つのエンティティが他のエンティティを所有または関連付けていることを意味します。	File: ファイルはFileHashエンティティとHas関係を持ち、ファイルに関連付けられたファイルハッシュがあることを示します。 Host: ホストはFile（ホストがファイルを持つ）、User（ホストがユーザーを持つ）、IpAddress（ホストがIPアドレスを持つ）など様々なエンティティとHas関係を持ちます。 Process: プロセスはFileエンティティとHas関係を持ち、プロセスに関連付けられたファイルがあることを示します。
HasParent	HasParent関係は、プロセス間の階層的または親子関係を表します。1つのプロセスが他のプロセスの子またはサブプロセスであることを示し、プロセスの依存関係を示します。	プロセスは親プロセスを持つことができ、他のプロセスによって生成または開始されたことを示します。この関係はプロセスの系統を確立するのに役立ちます。
HTTPRequests	HTTPRequests関係は、ユーザー、ホスト、プロセスなどのエンティティ間で、1つのエンティティが他のエンティティに対してHTTPリクエストを送信するネットワーク上のHTTPインタラクションを表します。	ユーザーはウェブサイト、ウェブアプリケーション、オンラインサービスにアクセスするためにHTTPリクエストを送信できます。これにより、IPアドレスやドメイン名などのエンティティとHTTPRequests関係を持ちます。 ホスト（サーバーやコンピュータなど）は、ウェブコンテンツの提供やウェブサービスとのやり取りの際にHTTPRequests関係を持ちます。これらの関係は、IPアドレス、ドメイン名、他のホストとの間で確立されます。
HTTPRequestsWith	HTTPRequestsWith関係は、ユーザーやホストなどのエンティティと、特定のIPアドレスと連携してHTTPリクエストを送信する関係やインタラクションを表します。	ユーザーは特定のIPアドレスやドメイン名とHTTPRequestsWith関係を持ち、これらのエンティティとHTTP通信を行ったことを示します。 ホスト（サーバーやコンピュータなど）は、特定のIPアドレスやドメイン名とHTTPRequestsWith関係を持ち、これらのエンティティとHTTPリクエストをやり取りしたことを示します。
InjectsThread	InjectsThread関係は、主にプロセスが他のエンティティ（多くは別のプロセス）内に新しいスレッドを挿入または作成するアクションを表します。これは実行の乗っ取りを目的とする場合があります。	Processエンティティが他のプロセスにInjectsThreadすることで、最初のプロセスが2番目のプロセス内に1つ以上のスレッドを作成することを示します。
Links	Links関係は、1つのエンティティが他のエンティティを指し示したり参照したりする接続を表します。多くの場合、追加のコンテキストや情報を提供します。	Fileエンティティが他のFileをLinksすることで、最初のファイルが2番目のファイルへの参照やハイパーリンクを含むことを示します。
Manages	Manages関係は、1つのエンティティが特定のコンテキストやドメイン内で他のエンティティを管理・監督・責任を持つことを示します。	Userエンティティが他のUserエンティティを管理することで、管理ユーザーが管理対象ユーザーに対して管理権限や監督権限を持つことを示します。
Modifies	Modifies関係は、1つのエンティティが他のエンティティに変更や修正を加えるアクションを表します。	ProcessエンティティがRegistryKeyエンティティを修正する場合、プロセスがレジストリキーに変更を加えていることを示します。
ModifiesFile	ModifiesFile関係は、プロセスがファイルを変更または修正することを示します。ファイルの内容や属性の変更アクションを表します。	Processエンティティがファイルを修正することで、ファイルに変更を加えていることを示します。
Persists	Persists関係は、1つのエンティティが他のエンティティと関連付けられたまま長期間存在し続けることを示します。主にストレージや永続化の文脈で使用されます。	FileエンティティがHost内にPersistsすることで、ファイルがホストのファイルシステムに保存され続けていることを示します。 RegistryKeyエンティティがHost内にPersistsすることで、レジストリキーがホストのレジストリに保存されていることを示します。
ProvidesDNS	ProvidesDNS関係は、DNSServerエンティティがドメイン名のDNS解決サービスを提供することを示します。DNSサーバーがDNS関連情報を提供する役割を反映します。	DNSServerエンティティはProvidesDNS関係を持ち、DNSサーバーとしてドメイン名をIPアドレスに解決するDNS解決サービスを提供していることを示します。
Publishes	Publishes関係は、IPアドレスやEmailアドレスなどのエンティティが特定のコンテンツや情報を共有・公開することを示します。コンテンツを他者に提供するアクションを反映します。	EmailAddressエンティティがEmailを公開することで、メールの送信や転送に関連付けられていることを示します。 IPアドレスエンティティがEmailを公開することで、メールの送信や転送に関連付けられていることを示します。
QueriesDNSWith	QueriesDNSWith関係は、プロセスやホストが特定のIPアドレスを使用してDNSサーバーに問い合わせを行うことを示します。特定のアドレスを用いたDNS情報の取得アクションを表します。	ProcessエンティティがIpAddressエンティティとQueriesDNSWith関係を持ち、特定のIPアドレスでDNSに問い合わせを行うことを示します。 ホストがIpAddressエンティティとQueriesDNSWith関係を持ち、特定のIPアドレスでDNSに問い合わせを行うことを示します。
QueriesDNS	QueriesDNS関係は、主にプロセスやホストがDNSサーバーやドメイン名に対してDNS関連情報の問い合わせを行うことを示します。DNSレコードの検索アクションを反映します。	IPアドレスエンティティがQueriesDNS関係を持ち、ドメイン名のDNS問い合わせに関与していることを示します。 ProcessエンティティがQueriesDNS関係を持ち、ドメイン名のDNS問い合わせを行っていることを示します。
Resolves	Resolves関係は、ドメイン名エンティティがIPアドレスに解決されることを示します。人間が読みやすいドメイン名が数値のIPアドレスに変換されることを強調します。	DomainNameエンティティがResolves関係を持ち、DNS解決に関与し、通常はIPアドレスや他のドメイン名に解決されることを示します。