脅威グラフ
脅威グラフでは、マルウェア攻撃を調査してクリーンアップできます。
攻撃の感染元や感染方法、および感染したプロセスやファイルを特定できます。これによって、セキュリティを改善することができます。
この機能は、Intercept X または Intercept X Advanced with XDR のライセンスをご使用のお客様のみが利用可能です。Intercept X Advanced with XDR ライセンス、または Intercept X Advanced for Server with XDR ライセンスをお持ちの場合は、次の操作も実行できます。
- 影響を受けたデバイスの隔離。
- 脅威の影響を受けたネットワーク上の他の項目の検索。
- 脅威のクリーンアップおよびブロック。
- さらに詳細な脅威解析情報を取得。
脅威グラフは、詳細な調査を要するマルウェアが検出されるたびに作成されます。
制限事項
この機能は現在、Windows および Mac デバイスのみに対応しています。
脅威の調査およびクリーンアップ方法
ここでは、グラフの一般的な調査方法について概説します。すべてのオプションの詳細は、脅威グラフの解析を参照してください。
一部の機能は、Intercept X Advanced with XDR ライセンス、または Intercept X Advanced with XDR for Server ライセンスをお持ちの場合のみに利用できます。
-
「脅威解析センター」を参照し、「脅威グラフ」をクリックした後、グラフをクリックします。
グラフの詳細ページが表示されます。
-
「サマリー」を確認して、攻撃の開始場所と感染した可能性のあるファイルを把握します。
-
「推奨される次のステップ」を確認します。グラフの優先度を変更したり、調査が必要なプロセスを表示したりできます。
グラフの優先度が高く、Intercept X Advanced with XDR を導入している場合は、「デバイスの隔離」をクリックできます。ネットワークから感染デバイスを隔離します。デバイスは、引き続き Sophos Central から管理することができます。
注
デバイスが既に自動的に隔離されている場合は、このオプションは表示されません。
-
「解析」タブに、攻撃の進行状況を示す図が表示されます。各項目をクリックすると、詳細が表示されます。
- 根本原因または他のプロセスをクリックして、詳細を表示します。
-
ソフォスから最新の解析情報を受信するには、「最新の解析情報を要求」をクリックします。
解析用にファイルがソフォスに送信されます。ファイルのレピュテーションや拡散状況に関する最新情報がある場合は、数分後に、ソフォスが提供する情報がここに表示されます。
制限事項
Intercept X Advanced with XDR ライセンス、または Intercept X Advanced for Server with XDR ライセンスをお持ちの場合は、より詳細な解析情報が表示されます。詳細は、プロセスの詳細を参照してください。また、表示される手順に従って、さらに検出とクリーンアップを実行できます。
-
「項目の検索」をクリックして、影響を受けた他のファイルをネットワークで検索します。
「項目検索の結果」ページで、影響を受けた他のファイルが表示される場合は、「デバイスの隔離」をクリックして、影響を受けたデバイスを隔離できます。
-
脅威グラフの詳細ページに戻り、最新の脅威解析情報を参照します。
-
悪意のあるファイルであるということ確認できる場合は、「クリーン&ブロック」をクリックします。
検出元の Windows デバイスで項目がクリーンアップされ、すべてのデバイスでその項目がブロックされます。詳細は、ブロックリストを参照してください。
-
脅威への対処が完了したら、必要に応じて隔離したデバイスを復元できます。「推奨される次のステップ」を参照し、「隔離したコンピュータの復元」をクリックします。
複数のデバイスを隔離した場合は、「設定 > 管理者が隔離したデバイス」を選択して、復元します。詳細は、管理者が隔離したデバイスを参照してください。
-
「脅威グラフ」のリストに戻り、該当するグラフを選択して、「クローズ」をクリックします。
脅威グラフのリストについて
「脅威グラフ」には、過去 90日間に作成されたすべての脅威グラフが一覧表示されます。
MDR ライセンスがある場合、このページは、以下のような方法で生成された脅威グラフに対応する複数のタブに分割されます。
- ソフォスが自動生成
- Sophos Central の管理者が生成
- Sophos Managed Detection and Response (MDR) 部門が生成 (現在未使用)
MDR ライセンスがない場合、ページはタブに分割されません。
グラフは、「デバイス」、「状態」や「優先度」で絞り込み表示できます。
「検索」機能を使用して、特定のユーザー、デバイス、または脅威名 (Troj/Agent-AJWL など) に関するグラフを表示できます。
各グラフについて、リストには次の情報の大半が表示されます。表示される列は、ページがタブに分割されているかどうかによって異なります。
- 状態: デフォルトのステータスは「新規」です。これはグラフを表示するときに変更できます。
- 作成日時: グラフが作成された日時。
- 優先度: グラフの作成時に優先度が指定されます。これはグラフを表示するときに変更できます。
- 名前: 脅威名をクリックするとグラフの詳細が表示されます。
- 生成者: 脅威グラフを生成した Sophos Central の管理者。
- ユーザー: 感染を引き起こしたユーザー。
- デバイス: 感染を引き起こしたデバイス。
- デバイスの種類: 「コンピュータ」、「サーバー」など、デバイスの種類。
いずれかの列を選択して、グラフを並べ替えることができます。