ケースの調査
このページは "自己管理" ケースについてのみです。
このページで説明されているように、「ケースの詳細」ページで利用可能な情報やツールを使用してケースを調査できます。
また、検出に関する詳細情報を入手し、対処方法の提案を受けるためにソフォスの AI アシスタントを利用することもお勧めします。詳細は、AI アシスタントを参照してください。
「ケースの詳細」ページで、「ノートブック」タブに調査記録を保持します。
場合によっては、ケースにも対応できることがあります。詳細は、ケースへの対応を参照してください。
ケースの調査
ケースの調査を開始するには、次の手順を実行します。
-
「ケース」ページを参照します。
-
ケースの「ケース ID」をクリックしてください。
-
「概要」タブでは、ケースを生成した検出に関する情報を確認でき、Sophos AI ツールを使って分析を開始できます。
このタブでは、次の操作を行うことができます。
- ケースに関する情報を要約します。詳細は、ケースサマリーを参照してください。
- 脅威によって実行されたコマンドラインを分析します。詳細は、コマンドライン分析を参照してください。
- 影響を受けたデバイスとユーザーを確認します。詳細は、影響を受けるエンティティを参照してください。
- 使用されている攻撃戦術と手法を確認します。MITRE 戦術または検出の詳細を参照してください。
ケースサマリー
Sophos AI を使用して、ケースサマリーを生成できます。
-
「ケースサマリー」で、AI アイコンをクリックします。
Sophos AI はケースを解析し、詳細を要約します。
-
サマリーを保存する場合は、「挿入」をクリックします。破棄するには、「X」をクリックします。
サマリーを保存すると、編集アイコン
をクリックして変更を加えることができます。
ケースを手動で要約することもできます。編集アイコン をクリックして、サマリーを入力します。
コマンドライン分析
Sophos AI を使用して、ケースを生成した脅威によって実行されたコマンドラインを分析できます。
コマンドラインで、AI アイコンをクリックします。
Sophos AI は、脅威の意図や可能な影響を発見するためにコマンドラインを分析します。必要に応じて、コードの難読化解除し、脅威の評価に必要な処理を最小限に抑えます。
影響を受けるエンティティ
「影響を受けるエンティティ」は、検出された脅威によって影響を受けるデバイス、ユーザー、ファイル、IP アドレス、プロセスがリストされています。
デバイス名をクリックして、「コンピュータとサーバー」ページで詳細をご覧ください。
MITRE 戦術
「MITREの戦術」ペインには、検出された MITRE ATT&CK の戦術とテクニックが一覧表示されます。
戦術の横にある展開矢印をクリックすると、テクニックが表示されます。
下のスクリーンショットの「証情報アクセス」などのように、戦術やテクニックの横にあるリンクをクリックして、MITRE Web サイトの詳細に移動します。
ケースへの対応
Response Action 機能は、現在、ほとんどのサードパーティ製品統合では使用できません。
検出された問題は、サードパーティ製品を介して解決できる場合があります。
この機能を使用するには、 使用するサードパーティ製品との対応アクション統合を設定する必要があります。製品にアクセスし て、製品をクリックします。
この例では、対応アクションを使用して侵害されたユーザーを一時停止する方法を示します。アクションを行うには、以下の手順に従います。
- ケースの横にある「ケース ID」をクリックすると、詳細が表示されます。
- 「対応」タブをクリックします。
-
必要なアクションを見つけます。製品の種類の ID をクリックする と、その種類で使用可能なアクションが表示されます。
-
「ユーザーの一時停止」をクリックします。
-
アクションの詳細ページで、必要な情報とアクションの理由を入力します。
-
「実行」をクリックします