ケース
ケースは調査に代わるものです。調査は、進行中の調査を終了できるように、しばらくの間利用可能な状態になります。
「ケース」ページでは、ソフォスの「検出」機能によって報告された疑わしいイベントをグループ化し、それに対するフォレンジック分析の実行と対応を支援します。
ケースについて
ケースは、ソフォスによって自動的に作成されます。これは、調査の実行が推奨される検出に焦点を置いて作成されます。
- 同日に作成されたケースに含まれていない高リスクの検出がある場合、ケースが作成されます。
- 検出タイプが同じである場合、後で発生した検出がケースに追加されます。
ケースは、Sophos XDR 検出または Sophos MDR 検出のいずれかに基づいています。XDR ケースは変更できますが、MDR ケースは読み取り専用です。
独自のケースを作成することもできます。詳細は、ケースの作成を参照してください。
ケースを有効にする
「検出」および「ケース」は、Sophos Data Lake のデータに基づいています。
まだ検出が行われていない場合は、Data Lake へのセキュリティデータのアップロードがオンになっていることを確認してください。
データは、さまざまなソフォス製品またはサードパーティ製品から取得できます。
ソフォス製品からのデータについては、 Data Lake へのアップロードを参照してください。サードパーティ製品からのアップロードについては、 統合を参照してください。
ケースの表示
ケースを表示するには、次の手順を実行します。
-
「脅威解析センタ- > ケース」に移動します。
注
このページをはじめて表示する際、リストが空の場合があります。後で再び参照して、自動作成されたケースが表示されていることを確認するか、新しいケースを作成してください。
-
ケースの横にある「ケース ID」をクリックすると、詳細が表示されます。
「ケースの詳細」ページが表示されます。詳細は、ケースの詳細の表示を参照してください。
ケースの編集と割り当て
XDR ケースについてのみ編集と割り当てが可能です。MDR チームは MDR ケースを処理します。
ケースを編集して、解析の管理者に割り当てることができます。
パートナースーパー管理者およびエンタープライズスーパー管理者は、ケースを編集して割り当てることはできません。
ケースを編集および割り当てるには、次の手順を実行します。
- 「脅威解析センタ- > ケース」の順に選択して、ケースのリストを表示します。
- ケースの横にある「ケース ID」をクリックすると、詳細が表示されます。
-
「ケースの詳細」ページでは、 デフォルトで「概要」タブが開きます。次の手順を実行します。
-
「所有者」で、ケースを割り当てる管理者を選択します。
ケースの優先度とステータスを設定するには、所有者を選択する必要があります。
-
「優先度」を「緊急」、「高」、 「中」、「低」、または「情報レベル」に設定します。
- 開始する準備ができたら、「ステータス」を「新規」から「調査中」に変更します。
- 「サマリー」にケースの説明を入力します。
-
関連する検出は、発生するたびにケースに追加されます。
注
Sophos Central 管理者にメール通知を設定すると、新しいケースについて通知されます。詳細は、メール通知を参照してください。
ケースの詳細の表示
ケースの詳細を表示するには、ケースの横にある「ケース ID」をクリックします。
「ケース詳細」ページのヘッダーには、ケースの重要度、ステータス、および所有者が表示されます。また、ケースの作成、割り当て、および最終更新日も表示されます。
このページには、詳細を表示するタブもあります。
「概要」タブ
「概要」タブはデフォルトで開いており、ケースの概要、MITRE 戦術の詳細、および最近のアクティビティが表示されます。
概要
XDR のお客様の場合は、ケースの説明を入力します。MDR のお客様の場合は、MDR チームが説明を入力します。
MITRE 戦術
「MITREの戦術」には、検出された MITRE ATT&CK の戦術とテクニックが一覧表示されます。
戦術の横にある展開矢印をクリックすると、テクニックが表示されます。
下のスクリーンショットの「証情報アクセス」などのように、戦術やテクニックの横にあるリンクをクリックして、MITRE Web サイトの詳細に移動します。
最近のアクティビティ
「最近のアクティビティ」には、ケースに対する最近の変更が表示されます。「すべて表示」をクリックして「履歴」タブに移動します。
「検出」タブ
「検出」タブには、ケースに含まれるすべての検出が一覧表示されます。「検出」ページのリストと同じ詳細が表示されます。詳細は、検出を参照してください。
「ノート」タブ
「ノート」タブを使用して、調査の記録を保持します。
「履歴」タブ
「履歴」タブには、そのケースのすべてのアクティビティの履歴が表示されます。たとえば、検出が追加されたり、ステータス、所有者などの変更が行われたりします。
ケースの調査
「ケースの詳細」では、「ノート」タブを使用してケースの調査を記録します。次の手順を実行することをお勧めします。
- 調査を行うか、クローズする必要があるかを決定します。
- イベントで使用されている外部接続と内部接続を確認します。
- 影響を受けたデバイスとユーザーを確認します。
- 使用されている攻撃戦術と手法を確認します。これらは、検出の詳細で確認できます。
- 検出にあるピボットオプションを使用して、データに対してクエリを実行するか、サードパーティの脅威解析 Web サイトを参照します。詳細は、ピボットクエリ、エンリッチ化、アクションの使用を参照してください。
ケースへの対応
検出された問題は、サードパーティ製品を介して解決できます。
この機能を使用するには、 使用するサードパーティ製品との対応アクション統合を設定する必要があります。統合にアクセスし て、製品をクリックします。
この例では、対応アクションを使用して侵害されたユーザーを一時停止する方法を示します。アクションを行うには、以下の手順に従います。
- ケースの横にある「ケース ID」をクリックすると、詳細が表示されます。
- 「対応」タブをクリックします。
-
必要なアクションを見つけます。製品の種類の ID をクリックする と、その種類で使用可能なアクションが表示されます。
-
「ユーザーの一時停止」アクションをクリックします。
-
アクションの詳細ページで、必要な情報とアクションの理由を入力します。
-
「実行」をクリックします
ケースのクローズまたは削除
ケースをクローズするには、状態を「クローズ」に変更します。ケースは 30日間リストに残り、その後削除されます。
パートナースーパー管理者およびエンタープライズスーパー管理者は、ケースをクローズまたは削除できません。
リストからケースを削除する場合は、ケースを選択し、「ケースの削除」をクリックします。