コンテンツにスキップ

調査

調査を使用して、潜在的な脅威を解析できます。

調査」では、ソフォスの「検出」機能によって報告された疑わしいイベントをグループ化し、それに対するフォレンジック分析の実行を支援します。

このページでは、調査の仕組みと、次の操作方法について説明します。

  • 調査の設定。
  • 調査の表示および開始。
  • 検出されたイベントの調査。
  • 調査のクローズ。

調査について

調査は、ソフォスによって自動的に作成されます。これは、調査の実行が推奨される検出に焦点を置いて作成されます。

  • (同日に作成された調査に含まれていない) 高リスクの検出がある場合、調査が作成されます。
  • 関連する (検出タイプや影響を受けるデバイスが同じである) 場合、後で発生した検出が調査に追加されます。

各検出は、複数の調査に含めることができます。

詳細は、ソフォス作成の調査についてを参照してください。

このような調査は、編集して、対応できます。または、新しい調査を作成することもできます。詳細は、調査の作成を参照してください。

調査の設定

検出」および「調査」は、Sophos Data Lake のデータに基づいています。このような機能の使用を開始する前に、Data Lake へのセキュリティデータのアップロードがオンになっていることを確認してください。

データは、さまざまなソフォス製品からアップロードされます。

詳細は、Data Lake へのアップロードを参照してください。

調査の表示および開始

ソフォスによって作成された調査を表示、開始し、担当者に割り当てるには、次の手順を実行します。

  1. 概要 > 脅威解析センター > 調査」を参照します。
  2. 調査の一覧が表示されます。各調査をクリックして、詳細を表示します。

    このページをはじめて表示する際、リストが空の場合があります。後で再び参照して、自動作成された調査が表示されていることを確認するか、新しい調査を作成してください。

    「調査」ページ

  3. 調査の記録」には調査の詳細が表示され、「検出リスト」には含まれている疑わしいイベントが表示されます。次の手順で調査を開始します。

    1. 優先度を「」、「」、「」のいずれかに設定します。
    2. 状態を「未開始」から「進行中」に変更します。
    3. 割り当て先を入力」をクリックして、調査を担当する Sophos Central 管理者を選択します。

    「調査の詳細」ページ

関連する検出は、発生するたびに調査に追加されます。また、検出を追加または削除することもできます。「検出リスト」で、「アクション」をクリックして、実行する操作を選択します。

デフォルトでは、新しい調査が作成されるたびに、スーパー管理者にメールが送信されます。詳細は、メール通知を参照してください。

検出されたイベントの調査

調査を行うためのテンプレートが用意されています。調査するには、次の手順を実行します。

  1. 概要 > 脅威解析センター > 調査」を参照します。
  2. 調査をクリックします。

    「調査」ページ

  3. 調査のメモ」を展開します。「観察 - 方向付け - 意思決定 - 行動」モデルに基づいた一連の質問が表示されます。

    • 調査を行うか、クローズする必要があるかを決定します。
    • イベントで使用されている外部接続と内部接続を確認します。
    • 影響を受けたデバイスとユーザーを確認します。
    • 使用されている攻撃戦術と手法を確認します。これは、検出の詳細に表示されます。
    • 検出にあるピボットオプションを使用して、データに対してクエリを実行するか、サードパーティの脅威解析 Web サイトを参照します。詳細は、検出を参照してください。

    調査メモ

調査のクローズ

調査をクローズするには、状態を「クローズ」に変更します。

調査は、30日後に自動的に削除されます。

トップへ