コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=forensic-snapshot

フォレンジック分析のスナップショット

フォレンジック分析のスナップショットは、デバイス上の最近のアクティビティをキャプチャします。

脅威が検出されると、デバイス上にスナップショットが自動的に作成され、攻撃の展開方法を示す脅威グラフが作成されます。

また、必要に応じてフォレンジック分析のスナップショットを作成し、独自の解析を実行することもできます。

このページでは、次の操作方法について説明しています。

  • フォレンジック分析のスナップショットを作成します。
  • フォレンジック分析のスナップショットにアクセスします。
  • フォレンジック分析のスナップショット期間を設定します。

また、次の操作も実行できます。

スナップショットは、Windows デバイスからのみアップロードできます。XDR または MDR ライセンスも必要です。

フォレンジック分析のスナップショットの作成

フォレンジック分析のスナップショットは、Sophos Central のデバイス詳細または脅威グラフから作成できます。

デバイスの詳細からのスナップショットの作成

デバイスの詳細からスナップショットを作成するには、次の手順に従います。

  1. Sophos Central で、「マイプロダクト > コンピュータとサーバー」の順に選択します。
  2. スナップショットを生成するデバイスの名前をクリックします。
  3. デバイスの詳細ページの「サマリー」タブで、「その他のアクション」をクリックして「フォレンジック分析のスナップショットの作成」を選択します
  4. フォレンジック分析のスナップショットの作成」で「今すぐ作成」をクリックします。

デフォルトでは、スナップショットは %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ に作成されます。

または、スナップショットを S3 バケットにアップロードすることもできます。詳細は、フォレンジック分析のスナップショットの AWS S3 バケットへのアップロードを参照してください。

スナップショットを分析できる形式に変換する必要があります。詳細は、フォレンジック分析のスナップショットの変換を参照してください。

脅威グラフからのスナップショットの作成

脅威グラフからスナップショットを作成するには、次の手順に従います。

  1. Sophos Central で、「脅威解析センター > 脅威グラフ」に移動します。
  2. スナップショットを生成するデバイスに関連付けられている検出された脅威を選択します。
  3. 「脅威グラフ」でアーティファクトテーブルの下にある「フォレンジック分析のスナップショットの作成」のリンクを選択します。

デフォルトでは、スナップショットは %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ に作成されます。

または、スナップショットを S3 バケットにアップロードすることもできます。詳細は、フォレンジック分析のスナップショットの AWS S3 バケットへのアップロードを参照してください。

スナップショットを分析できる形式に変換する必要があります。詳細は、フォレンジック分析のスナップショットの変換を参照してください。

フォレンジック分析のスナップショットへのアクセス

デバイス上のフォレンジック分析のスナップショットにアクセスできます。

タンパープロテクションを有効にした状態で、権限昇格を行ったコマンドプロンプトから管理者が保存されたスナップショットにアクセスする必要があります。

デフォルトでは、作成したスナップショットは %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ にあります。

検出に基づいて自動的に作成されるスナップショットは %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\ にあります。

スナップショット期間の設定

デフォルトで、スナップショットには過去 2週間のデータが含まれます。

次のように、期間を変更するか、使用可能なすべてのデータを含めるように選択できます。

  1. Sophos Central で「全般設定」を参照して、「フォレンジック分析のスナップショット」をクリックします。
  2. フォレンジック分析のスナップショット期間の設定」で、期間または「すべてのログ」を選択します。

S3 バケットへのスナップショットのアップロード

フォレンジック分析のスナップショットを AWS S3 バケットへアップロードできます。これによって、各デバイスにアクセスするのではなく、一カ所から簡単にスナップショットにアクセスできるようになります。

AWS S3 バケットを設定してスナップショットをアップロードする方法の詳細は、フォレンジック分析のスナップショットの AWS S3 バケットへのアップロードを参照してください。

  • フォレンジックログの収集

    AWS S3 バケットへのアップロードをここで設定した場合、新しいフォレンジックログの収集機能では、同じ設定を使用してログをアップロードします。

    新しいフォレンジックログの収集機能は現在、Sophos Central API 経由でのみ利用できます。https://developer.sophos.com/api を参照してください。