コンテンツにスキップ

関連検知およびイベントタイムラインビュー🔗

注意

Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。

特定のイベント詳細ページには、タイムラインで表示 オプションがあり、選択したイベントに関連する検知およびイベントのフィルタ可能なテーブルを新しいウィンドウで開きます。関連検知およびイベントのタイムライン テーブルは、検知イベント の2つのタブで検索結果を表示します。

重要

タイムラインの表示は、お客様が 詳細検索クエリ言語 を利用しているかどうかによって異なります。現在、詳細検索ビルダーを利用している場合は、詳細検索ビルダーを利用したタイムラインビュー をご参照ください。

関連検知およびイベントのタイムライン を表示するには、イベント詳細ページから タイムラインで表示 を選択するか、検知から 関連検知およびイベント を選択します。

関連検知およびイベントのタイムライン

検索期間の更新🔗

関連検知およびイベントのタイムライン の検索ウィンドウを更新できます。

  1. 関連検知およびイベントのタイムライン ページで、ソースイベントを囲むタイムラインバーのハンドルをつかみ、検索したい前後の時間までドラッグします。
  2. 更新 を選択します。Secureworks® Taegis™ XDR は、そのウィンドウ内の検知およびイベントを返し、下のテーブルに表示します。

タイムラインウィンドウの変更

イベントタイプによるフィルタ🔗

イベントタブビューには、データテーブルの上部に利用可能なデータタイプのフィルターがあります。これらのフィルターを切り替えて、検索結果テーブルからイベントタイプを含めたり除外したりできます。

データタイプフィルター

検知およびイベントのテーブルでは、以下のアクションが可能です:

  • 列の選択/並べ替え
  • 列の追加および削除
  • 選択したものをCSVでエクスポート
  • ケースに追加
  • 新規ケースに追加

注意

列の設定は、お客様のXDRプロファイルに自動保存されます。

詳細検索ビルダーを利用したタイムラインビュー🔗

詳細検索クエリ言語 を利用していない場合は、以下のドキュメントが該当します。

データタイプボタンの状態🔗

データタイプには、4つの状態があります:

アクティブ🔗

アクティブなデータタイプボタン:

  • 塗りつぶされたカラードットが表示されます
  • 更新 を選択した際、このデータタイプでクエリがフィルタされることを示します

ヒント

データタイプの 詳細検索 エディタに移動するには、データタイプボタンの右側にマウスオーバーした際に表示される () アイコンを選択してください。詳細検索 では、選択したクエリの編集、条件の追加、異なる期間でのクエリ実行、または詳細検索で利用可能な他のクエリパラメータの追加が可能です。

詳細検索で表示

非アクティブ🔗

非アクティブなデータタイプボタン:

  • ドットは色がなく、アウトラインのみ
  • 更新 を選択した際、このデータタイプの結果は表示されず、フィルタもされないことを示します

エラー🔗

エラー状態のデータタイプボタン:

  • 黄色で、三角形内に感嘆符が表示されます
  • クエリが失敗したことを示します

キャンセル🔗

キャンセル状態のデータタイプボタン:

  • 塗りつぶされたカラードットですが、テキストが取り消し線で表示され、フィルターが選択されたものの、更新時に(ボタンのXをクリックして)キャンセルされたことを示します
  • フィルターが中間的なキャンセル状態であることを示します

キャンセル

データタイプ🔗

フィルターで利用可能なデータタイプは以下の通りです:

データタイプ

  • 検知(ALRT)
  • Authイベント(AUTH)
  • Cloud Audit(CAUD)
  • コマンドイベント(CMD)
  • DNSイベント(DNS)
  • Filemod(FILE)
  • HTTPイベント(HTTP)
  • Inspector Processイベント(INSP)
  • メモリアロケーションイベント(MEM)
  • Managementイベント(MGMT)
  • Netflowイベント(NET)
  • NIDSイベント(NIDS)
  • プロセスモジュールイベント(PMOD)
  • Persistenceイベント(PRST)
  • プロセスイベント(PROC)
  • レジストリエベント(REG)
  • スクリプトブロックイベント(SCPT)
  • スレッドインジェクションイベント(THRD)
  • ほとんどのデータタイプは、host_idパラメータでクエリされ、選択したプロセスを開始した同一ホストから、タイムスライダーで指定した期間内のイベントを返します。
  • DNS、Management(MGMT)、Netflow(NET)、Persistence(PRST)に対して選択したプロセスに限定 チェックボックスオプションはデフォルトで選択されており、これらのイベントタイプのクエリにパラメータを追加して、選択したプロセスから開始されたイベントのみを返します。
  • クエリの時間範囲は、タイムスライダーで選択したプロセスから±15分がデフォルトで、プロセス作成タイムスタンプから±6時間まで拡張可能です。
  • 関連検知およびイベントのタイムライン ページが最初に読み込まれた際、いくつかのデータタイプボタンがデフォルトで選択されていますが、簡単に変更してフィルターを更新できます。