脅威ケース

脅威ケースでは、マルウェア攻撃を調査してクリーンアップできます。

攻撃の感染元や感染方法、および感染したプロセスやファイルを特定できます。これにより、セキュリティを改善することができます。

この機能は、Intercept X または Intercept X Advanced with XDR のライセンスをご使用のお客様のみが利用可能です。Intercept X Advanced with XDR ライセンス、または Intercept X Advanced for Server with XDR ライセンスをお持ちの場合は、次の操作も実行できます。

  • 影響を受けたデバイスの隔離。
  • 脅威の影響を受けたネットワーク上の他の項目の検索。
  • 脅威のクリーンアップおよびブロック。
  • さらに詳細な脅威解析情報を取得する。

脅威ケースは、詳細な調査を要するマルウェアが検出されるたびに作成されます。

この機能は現在、Windows デバイスのみに対応しています。

脅威の調査およびクリーンアップ方法

ここでは、ケースの一般的な調査方法について概説します。すべてのオプションの詳細は、「脅威ケースの解析」ページを参照してください。

一部の機能は、Intercept X Advanced with XDR ライセンス、または Intercept X Advanced with XDR for Server ライセンスをお持ちの場合のみに利用できます。

  1. 概要 > 脅威解析センター」を参照し、「脅威ケース」をクリックした後、ケースをクリックします。

    ケースの詳細ページが表示されます。

  2. サマリー」を確認して、攻撃の開始場所と感染した可能性のあるファイルを把握します。
  3. 推奨される次のステップ」を確認します。ケースの優先度を変更したり、調査が必要なプロセスを表示したりできます。

    ケースの優先度が高く、Intercept X Advanced with XDR を導入している場合は、「デバイスの隔離」をクリックできます。ネットワークから感染デバイスを隔離します。デバイスは、引き続き Sophos Central から管理することができます。

    デバイスが既に自動的に隔離されている場合は、このオプションは表示されません。
  4. 解析」タブに、攻撃の進行状況を示す図が表示されます。各項目をクリックすると、詳細が表示されます。
  5. 根本原因または他のプロセスをクリックして、詳細を表示します。
  6. ソフォスから最新の解析情報を受信するには、「最新の解析情報を要求」をクリックします。

    解析用にファイルがソフォスに送信されます。ファイルのレピュテーションや拡散状況に関する最新情報がある場合は、数分後に、ソフォスが提供する情報がここに表示されます。

    制約事項 Intercept X Advanced with XDR ライセンス、または Intercept X Advanced for Server with XDR ライセンスをお持ちの場合は、より詳細な解析情報が表示されます。詳細は、「プロセスの詳細」を参照してください。また、表示される手順に従って、さらに検出とクリーンアップを実行できます。
  7. 項目の検索」をクリックして、影響を受けた他のファイルをネットワークで検索します。

    項目検索の結果」ページで、影響を受けた他のファイルが表示される場合は、「デバイスの隔離」をクリックして、影響を受けたデバイスを隔離できます。

  8. 脅威ケースの詳細ページに戻り、最新の脅威解析情報を参照します。
  9. 悪意のあるファイルであるということ確認できる場合は、「クリーン&ブロック」をクリックします。

    検出元のデバイスで項目がクリーンアップされ、すべてのデバイスでその項目がブロックされます。

  10. 脅威への対処が完了したら、必要に応じて隔離したデバイスを復元できます。「推奨される次のステップ」を参照し、「隔離したコンピュータの復元」をクリックします。

    複数のデバイスを隔離した場合は、「設定 > 管理者が隔離したデバイス」を選択して、復元します。

  11. 検出された脅威ケース」のリストに戻り、該当するケースを選択して、「クローズ」をクリックします。

脅威ケースのリストについて

検出された脅威ケース」ページには、過去 90日間に作成されたすべての脅威ケースが一覧表示されます。

MTR ライセンスがある場合、ページは、以下のような生成方法に基づいて複数のタブに分割されます。

  • ソフォスが自動生成
  • Sophos Central の管理者が生成
  • Sophos Managed Threat Response (MTR) 部門が生成 (現在未使用)

MTR ライセンスがない場合、ページはタブに分割されません。

ケースは、「デバイス」、「状態」や「優先度」で絞り込み表示できます。

検索」機能を使用して、特定のユーザー、デバイス、または脅威名 (Troj/Agent-AJWL など) に関するケースを表示できます。

各ケースについて、リストには次の情報の大半が表示されます。表示される列は、ページがタブに分割されているかどうかによって異なります。

  • 状態: デフォルトのステータスは「新規」です。これはケースを表示するときに変更できます。
  • 作成日時: ケースが作成された日時。
  • 優先度: ケースの作成時に優先度が指定されます。これはケースを表示するときに変更できます。
  • 名前: 脅威名をクリックするとケースの詳細が表示されます。
  • 生成者: 脅威ケースを生成した Sophos Central の管理者。
  • ユーザー: 感染を引き起こしたユーザー。ユーザー名をクリックして、ユーザーの詳細を表示します。
  • デバイス: 感染を引き起こしたデバイス。デバイス名をクリックして、デバイスの詳細を表示します。
  • デバイスタイプ: 「コンピュータ」、「サーバー」など、デバイスの種類。

いずれかの列を選択して、ケースを並べ替えることができます。