脅威ケースの解析ページ

脅威ケースは、詳細ページを参照し、そこにある解析ツールを使用して調査できます。

検出された脅威ケース」ページで該当する脅威ケースを探します。脅威ケース名をクリックし、簡素化されたイベントチェーン、概要、影響を受けたアーティファクトの詳細 (プロセス、ファイル、キー)、および脅威の流れを示す図を表示します。以下のスクリーンショットでは、Internet Explorer 11 を使用して Web サイトから sophos_hips_test.exe をダウンロードした際に HPmal/Eicar-A が検出された例を表示しています。

HPmal/EICAR -A の脅威ケース。「概要」、「推奨される次のステップ」セクション、および「解析」タブを表示

操作方法の概要は、脅威ケース脅威の調査およびクリーンアップ方法を参照してください。

すべてのオプションの詳細は、このページにある各セクションをお読みください。

表示されるオプションは、購入済みのライセンス、および脅威の重要度によって異なる場合があります。

サマリー

サマリー」タブには、次の項目を含む、脅威のサマリーが表示されます。

  • 根本原因: 脅威がシステムに侵入した経路。
  • 関連する可能性のあるデータ: 重要なデータを含む可能性のあるファイル。ファイルをチェックして、データが暗号化されたり、盗まれたりしていないかを確認してください。
  • 発生場所: デバイス名とそのユーザー。
  • 発生日時: 検出日時。

推奨される次のステップ

推奨される次のステップ」ペインには次の内容が表示されます。

優先度: 優先度は自動的に設定されます。変更可能です。

状態: デフォルトのステータスは「新規」です。変更可能です。

一度「進行中」に設定したステータスを「新規」に戻すことはできません。

デバイスの隔離: ケースの優先度が高く、かつ Intercept X Advanced with XDR、または Intercept X Advanced for Server with XDR を導入している場合のみに表示されます。潜在的な脅威を調査する間、デバイスを隔離することができます。

デバイスは、引き続き Sophos Central から管理することができます。隔離されたデバイスから、解析用にソフォスにファイルを送信することもできます。

隔離したデバイスが、制限された環境下で他のデバイスと通信することも許可できます。詳細は、「デバイスの隔離」の除外 (Windows)を参照してください。

隔離したデバイスは、いつでも復元することができます。「推奨される次のステップ」の下に「隔離したコンピュータの復元」オプションが表示されます。

デバイスが既に自動的に隔離されている場合は、「デバイスの隔離」オプションは表示されません。脅威対策ポリシーデバイスの隔離を参照してください。

デバイスの検索: このリンクを使用して、影響を受けたデバイスに対して脅威検索を実行することができます。

解析

解析」タブには、マルウェア感染で発生した一連のイベントが表示されます。

タブの右側のメニューから表示する内容の詳細度を選択できます。

  • 直接パスの表示: 根本原因から、感染が検出された場所 (「ビーコン」) の項目までの経路に、直接かかわりのある一連の項目が表示されます。
  • 詳細グラフの表示: 根本原因、ビーコン、影響を受けたアーティファクト (アプリケーション、ファイル、キー)、感染パス (矢印)、感染の仕組みが表示されます。このオプションはデフォルトで選択されています。

各種アーティファクトの表示/非表示を切り替えるには、図の上のチェックボックスを使用します。

詳細を表示するには、項目をクリックします。図の右側に詳細ペインが開きます。

ケースの記録

ケースの記録」タブには、ソフォスや管理者による作成からはじまる、脅威ケースの履歴が表示されます。コメントを投稿して、実行されたアクションやその他の関連情報を記録できます。

プロセスの詳細

影響を受けた項目をクリックすると、「プロセスの詳細」ページが表示されます。そのファイルが既にソフォスに送信済みの場合は、最新の脅威解析情報が表示されます。

ファイルがまだ送信されていない場合、または脅威解析情報が更新されているかを確認する場合は、「最新の解析情報を要求」をクリックします。

ファイルのグローバルレピュテーションに関する最新情報、および調査が必要かどうかが表示されます。

アーティファクトのリスト

マルウェア攻撃の図の下に表示されるリストです。業務関連ファイル、プロセス、レジストリキー、IP アドレスなど、影響を受けた項目がすべて表示されます。

タブの右上にある「CSV 形式で出力」をクリックして、影響を受けたアーティファクトの一覧をカンマ区切り (CSV) ファイルとして出力できます。

一覧には次の項目が表示されます。

  • 名前: 詳細ペインを表示するには、名前をクリックします。
  • 種類: 業務関連ファイルやレジストリキーなど、アーティファクトの種類。
  • レピュテーション
  • ログ日時: プロセスがアクセスされた日時。
  • 相互作用

フォレンジック分析のスナップショットの作成

デバイスから、フォレンジック分析のスナップショットを作成できます。スナップショットは、デバイスのアクティビティに関するソフォスのログからデータを取得し、デバイスに保存します。フォレンジック分析のスナップショットの詳細は、フォレンジック分析のスナップショットを参照してください。

指定した Amazon Web Services (AWS) S3 バケットに保存することもできます。これを用いて解析を行うことができます。

データの読み取りにはコンバータ (ソフォスで提供) が必要です。

スナップショットに必要なデータの量とアップロード先を選択できます。これを実行するには、「グローバル設定 > フォレンジック分析のスナップショット」を参照します。ヘルプの公開時点では、これらの機能がリリースされていないこともあります。

スナップショットの作成方法は次のとおりです。

  1. 脅威ケースの「解析」タブを参照します。

    または、デバイスの詳細ページで、「状態」タブを開きます。

  2. フォレンジック分析のスナップショットの作成」をクリックします。
  3. フォレンジック分析のスナップショットの AWS S3 バケットへのアップロードの手順を実行します。

生成したスナップショットは、 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ にあります。

検出から生成されたスナップショットは、%ProgramData\Sophos\Endpoint Defense\Data\Saved Data\ にあります。

保存したスナップショットにアクセスするには、タンパープロテクションのパスワードにアクセスできる管理者であり、コマンドプロンプトを管理者権限で実行する必要があります。