コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=threat-analysis-cases

ケース

ケース」ページでは、ソフォスの「検出」機能によって報告された疑わしいイベントをグループ化し、MDR チームがそれらを調査して対応を支援します。

ケースの仕組み

ケースを自動的に作成して管理することも、独自のケースを作成して管理することもできます。

ソフォスが管理するケース

ケースは、ソフォスによって自動的に作成されます。これらは調査が必要と思われる検出に焦点を置いて作成されます。

  • 同日に作成されたケースに含まれていない高リスクの検出がある場合、ケースが作成されます。
  • 検出タイプが同じである場合、後で発生した検出がケースに追加されます。
  • MDR の検出に基づいてケースが発生した場合は、調査と対応を行います。これは「ソフォスによる管理」のケースです。

ケースが Sophos XDR 検出に基づいている場合、調査は行いません。詳細は、お客様が管理するケースを参照してください。

お客様が管理するケース

XDR 検出に基づいてケースを作成する場合、それは「自社による管理」のケースです。ケースを確認するときは、管理対象の詳細で「セルフ」(を探してください。調査と回答を行う管理者を割り当てる必要があります。詳細は、ケースの割り当てを参照してください。

独自のケースを手動で作成および管理することもできます。詳細は、ケースの作成を参照してください。

ケースの表示

ケースを表示するには、「脅威解析センター > ケース」を参照します。

ケースページ。

このページをはじめて表示する際、リストが空の場合があります。後で再び参照して、自動作成されたケースが表示されていることを確認するか、新しいケースを作成してください。それでもケースが表示されない場合は、ケースのトラブルシューティングを参照してください。

ケースリストには、各ケースの以下の詳細が含まれています。

重要度

レベル 説明
緊急 システムへの不正アクセスまたは不正アクセスが確認されています。
オレンジ 侵害または不正アクセスを引き起こす可能性のある標的型攻撃を示す検出。
それ自体が悪意のあるものとは見なされず、標的型ではない可能性のある検出です。
ダークグレー セキュリティ状態の低下、悪意のあるアクティビティ、侵害または不正アクセスが確認されていない検出。
情報 ライトグレー 通常、初期の正常性チェックに使用される特別な重要度レベルです。

状態

ソフォスが管理するケースには、次のステータスが表示されます。

  • 進行中: データを分析中です。
  • 対応が必要: 操作が必要です。ソフォスはお客様の担当者に通知をしています。
  • 解決済み: 脅威に対処しました。

管理対象

ケースの管理者を確認できます。

  • ソフォス: MDR チームがケースを調査して対応します。変更はできませんが、ケースについて MDR チームに返信することはできます。:
  • セルフ: ケースを調査して回答する必要があります。

ケースの割り当て

このセクションは、「管理対象」列に「セルフ」と表示されている自動生成ケースのみを対象としています。

解析の管理者にケースを割り当てるには、次の手順を実行します。

  1. 脅威解析センタ- > ケース」の順に選択して、ケースのリストを表示します。
  2. ケースの横にある「ケース ID」をクリックすると、詳細が表示されます。

  3. ケースの詳細」ページでは、 デフォルトで「概要」タブが開きます。次の手順を実行します。

    1. 担当者」で、ケースを割り当てる管理者を選択します。目的の管理者がリストにない場合は、「ユーザーの追加」をクリックして 追加します。

      必要に応じて、後で担当者を選択できます。

    2. 重要度」を「緊急」、「」、 「」、「」、または「情報レベル」に設定します。

    3. 開始する準備ができたら、「ステータス」を「新規」から「調査中」に変更します。
    4. サマリー」にケースの説明を入力します。

    ケースの詳細ページ。

    ケースの調査に関するアドバイスについては、ケースの作成 にアクセスして「ケースの調査」を参照してください。

Sophos Central 管理者にメール通知を設定すると、新しいケースについて通知されます。詳細は、メール通知を参照してください。

ケースの詳細の表示

ケースの詳細を表示し、進行状況を確認するには、次の手順に従います。

  1. ケース」ページで、 ケースの横にある「ケース ID」をクリックします。

    ケースリストのケース ID リンク。

  2. ケースの詳細」ページのページヘッダーには、重大度、ステータス、担当者が表示されます。また、ケースの作成、割り当て、および最終更新日も表示されます。

    ケースの詳細。

このページには、詳細を表示するタブもあります。

「概要」タブ

概要」タブはデフォルトで開いており、ケースの概要、MITRE 戦術の詳細、および最近のアクティビティが表示されます。

ケース詳細の概要タブ。

サマリー

MDR のお客様の場合は、MDR チームがケースの概要を入力します。XDR のお客様の場合は、ケースの説明を入力します。

MITRE 戦術

MITREの戦術」には、検出された MITRE ATT&CK の戦術とテクニックが一覧表示されます。

戦術の横にある展開矢印をクリックすると、テクニックが表示されます。

下のスクリーンショットの「証情報アクセス」などのように、戦術やテクニックの横にあるリンクをクリックして、MITRE Web サイトの詳細に移動します。

MITRE 戦術の詳細。

最近のアクティビティ

最近のアクティビティ」には、ケースに対する最近の変更が表示されます。「すべて表示」をクリックして「履歴」タブに移動します。

「検出」タブ

検出」タブには、ケースに含まれるすべての検出が一覧表示されます。「検出」ページのリストと同じ詳細が表示されます。詳細は、検出を参照してください。

「検出」タブ。

「ノート」タブ

自己管理ケースで作業している場合は、「ノートブック」タブを使用して調査の記録を保存します。

「メッセージ」タブ

メッセージ」タブページでは、ケースに関する Sophos MDR チームからのメッセージを表示することもできます。

  • 送信したメッセージは、MDR の受信トレイに送信されます。ソフォスは後ほど対応します。
  • 送受信したメッセージは、承認済み担当者のメールボックスにコピーされるため、見逃すことはありません。
  • メッセージのほか、添付ファイルも送受信できます。

「履歴」タブ

履歴」タブには、そのケースのすべてのアクティビティの履歴が表示されます。たとえば、検出が追加されたり、ステータス、所有者などの変更が行われたりします。

ケースのトラブルシューティング

ケースは、デバイスが Sophos Data Lake にアップロードするデータで検出された検出に基づいています。これらのアップロードは通常デフォルトでオンになっています。検出されない場合は、オンになっていることを確認してください。

ソフォス製品からアップロードされたデータを確認するには、Data Lake へのアップロードを参照してください。サードパーティ製品からのアップロードについては、 MDR と XDR の統合についてを参照してください。