検出

「検出」には、調査が必要になる可能性のあるアクティビティが表示されます。

検出を表示するには、「概要 > 脅威解析センター > 検出」を参照します。

「検出」は、デバイスにある異常または疑わしいアクティビティで、ブロックされていないものを検出します。これは、悪意のあることがわかっているアクティビティを検出してブロックするイベントとは異なります。

検出は、デバイスが Sophos Data Lake にアップロードするデータに基づいています。アップロードの設定方法は、Data Lake へのアップロードを参照してください。

データは、脅威の分類ルールと照合してチェックされます。一致するものがある場合は、検出として表示されます。

検出には、1 (最低) から 10 (最高) までのリスクスコアが与えられます。スコアは、検出が悪意のあるアクティビティに関連している確信度を示します。

検出の詳細に表示される内容

検出は、一致したルールと日付に基づいてグループ化されます。検出の詳細には、次の情報が表示されます。

  • リスク。リスクは、1 (最低) から 10 (最高) までの範囲で表示されます。0 のスコアは、リスクレベルが未定であることを示します。デフォルト設定では、スコアが 7 以上の検出のみが表示されます。スコアを参考にして、調査する優先順位を決定できます。
  • 分類ルール。一致したルールの名前。
  • カウント。指定した日に、データが分類ルールと一致した回数。
  • デバイスリスト。ルールが前回一致したデバイス、およびその日に同じ検出が発生した他のデバイスの数。
  • 初回表示/最終表示。分類ルールに基づいた、その日の最初と最後の検出。
  • 説明。ルールによって識別される内容。
  • Mitre ATT&CK。該当する Mitre ATT&CK の戦術と手法。

検出の使用方法

検出されたアクティビティを使用して、他のソフォス機能でブロックされなかった潜在的な脅威の兆候が、デバイス、プロセス、ユーザー、イベントにないかどうかを調査できます。例:

  • システムを検査して常駐、セキュリティの回避、認証情報の窃取などの試行を示す異常なコマンド。
  • 動的なシェルコードの防止イベントなど、攻撃者がデバイスに侵入した可能性があることを示す、ソフォスのマルウェア警告。

ほとんどの検出は、MITRE ATT&CK フレームワークに関連しています。特定の戦術と手法に関する情報は参照できます。詳細は、https://attack.mitre.org/ を参照してください。

検出に基づいて、追加のアクションを実行することもできます。例:

  • Sophos Central によって別の場所で検出された場合やユーザーが疑わしい動作を報告した場合など、疑わしい脅威や既知の脅威の兆候をデバイスで検索できます。
  • 最新版でないソフトウェアや、設定が安全でないブラウザを検索できます。

ヘルプの利用方法

ソフォスでは、悪意のあるアクティビティがないかをお客様の環境で監視し、年中無休でお客様に代わって対応する MTR (Managed Threat Response) サービスを提供しています。

詳細は、https://www.sophos.com/ja-jp/products/managed-threat-response.aspx を参照してください。

セキュリティが侵害された恐れがあり、迅速なサポートが必要な場合は、Rapid Response チームにお問い合わせください。これは有償サービスです。

詳細は、https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx を参照してください。