コンテンツにスキップ

ケース

ケースは調査に代わるものです。調査は、進行中の調査を終了できるように、しばらくの間利用可能な状態になります。

ケース」ページでは、ソフォスの「検出」機能によって報告された疑わしいイベントをグループ化し、それに対するフォレンジック分析の実行と対応を支援します。

ケースについて

ケースは、ソフォスによって自動的に作成されます。これは、調査の実行が推奨される検出に焦点を置いて作成されます。

  • 同日に作成されたケースに含まれていない高リスクの検出がある場合、ケースが作成されます。
  • 検出タイプが同じである場合、後で発生した検出がケースに追加されます。

ケースは、Sophos XDR 検出または Sophos MDR 検出のいずれかに基づいています。XDR ケースは変更できますが、MDR ケースは読み取り専用です。

独自のケースを作成することもできます。詳細は、ケースの作成を参照してください。

ケースを有効にする

検出」および「ケース」は、Sophos Data Lake のデータに基づいています。

まだ検出が行われていない場合は、Data Lake へのセキュリティデータのアップロードがオンになっていることを確認してください。

データは、さまざまなソフォス製品またはサードパーティ製品から取得できます。

ソフォス製品からのデータについては、 Data Lake へのアップロードを参照してください。サードパーティ製品からのアップロードについては、 統合を参照してください。

ケースの表示

ケースを表示するには、次の手順を実行します。

  1. 脅威解析センタ- > ケース」に移動します。

    ケースページ。

    このページをはじめて表示する際、リストが空の場合があります。後で再び参照して、自動作成されたケースが表示されていることを確認するか、新しいケースを作成してください。

  2. ケースの横にある「ケース ID」をクリックすると、詳細が表示されます。

    ケースリストのケース ID リンク。

ケースの詳細」ページが表示されます。詳細は、ケースの詳細の表示を参照してください。

ケースの詳細。

ケースの編集と割り当て

XDR ケースについてのみ編集と割り当てが可能です。MDR チームは MDR ケースを処理します。

ケースを編集して、解析の管理者に割り当てることができます。

パートナースーパー管理者およびエンタープライズスーパー管理者は、ケースを編集して割り当てることはできません。

ケースを編集および割り当てるには、次の手順を実行します。

  1. 脅威解析センタ- > ケース」の順に選択して、ケースのリストを表示します。
  2. ケースの横にある「ケース ID」をクリックすると、詳細が表示されます。
  3. ケースの詳細」ページでは、 デフォルトで「概要」タブが開きます。次の手順を実行します。

    1. 優先度」を「緊急」、「」、 「」、「」、または「情報レベル」に設定します。
    2. 開始する準備ができたら、「ステータス」を「新規」から「調査中」に変更します。
    3. 所有者」で、ケースを割り当てる管理者を選択します。
    4. サマリー」にケースの説明を入力します。

    ケースの詳細ページ。

関連する検出は、発生するたびにケースに追加されます。

Sophos Central 管理者にメール通知を設定すると、新しいケースについて通知されます。詳細は、メール通知を参照してください。

ケースの詳細の表示

ケースの詳細を表示するには、ケースの横にある「ケース ID」をクリックします。

ケース詳細」ページのヘッダーには、ケースの重要度、ステータス、および所有者が表示されます。また、ケースの作成、割り当て、および最終更新日も表示されます。

このページには、詳細を表示するタブもあります。

ケースの詳細ヘッダー。

「概要」タブ

概要」タブはデフォルトで開いており、ケースの概要、MITRE 戦術の詳細、および最近のアクティビティが表示されます。

ケース詳細の概要タブ。

サマリー

XDR のお客様の場合は、ケースの説明を入力します。MDR のお客様の場合は、MDR チームが説明を入力します。

MITRE 戦術

MITREの戦術」には、検出された MITRE ATT&CK の戦術とテクニックが一覧表示されます。

戦術の横にある展開矢印をクリックすると、テクニックが表示されます。

下のスクリーンショットの「証情報アクセス」などのように、戦術やテクニックの横にあるリンクをクリックして、MITRE Web サイトの詳細に移動します。

MITRE 戦術の詳細。

最近のアクティビティ

最近のアクティビティ」には、ケースに対する最近の変更が表示されます。「すべて表示」をクリックして「履歴」タブに移動します。

「検出」タブ

検出」タブには、ケースに含まれるすべての検出が一覧表示されます。「検出」ページのリストと同じ詳細が表示されます。詳細は、検出を参照してください。

「検出」タブ。

「ノート」タブ

ノート」タブを使用して、調査の記録を保持します。

「履歴」タブ

履歴」タブには、そのケースのすべてのアクティビティの履歴が表示されます。たとえば、検出が追加されたり、ステータス、所有者などの変更が行われたりします。

ケースの調査

ケースの詳細」では、「ノート」タブを使用してケースの調査を記録します。次の手順を実行することをお勧めします。

  • 調査を行うか、クローズする必要があるかを決定します。
  • イベントで使用されている外部接続と内部接続を確認します。
  • 影響を受けたデバイスとユーザーを確認します。
  • 使用されている攻撃戦術と手法を確認します。これらは、検出の詳細で確認できます。
  • 検出にあるピボットオプションを使用して、データに対してクエリを実行するか、サードパーティの脅威解析 Web サイトを参照します。詳細は、ピボットクエリ、エンリッチ化、アクションの使用を参照してください。

ケースへの対応

検出された問題は、サードパーティ製品を介して解決できます。

この機能を使用するには、 使用するサードパーティ製品との対応アクション統合を設定する必要があります。統合にアクセスし て、製品をクリックします。

この例では、対応アクションを使用して侵害されたユーザーを一時停止する方法を示します。アクションを行うには、以下の手順に従います。

  1. ケースの横にある「ケース ID」をクリックすると、詳細が表示されます。
  2. 対応」タブをクリックします。
  3. 必要なアクションを見つけます。製品の種類の ID をクリックする と、その種類で使用可能なアクションが表示されます。

    ID アクションが表示された「対応」タブ。

  4. ユーザーの一時停止」アクションをクリックします。

  5. アクションの詳細ページで、必要な情報とアクションの理由を入力します。

    ユーザーの一時停止ダイアログ。

  6. 実行」をクリックします

ケースのクローズまたは削除

ケースをクローズするには、状態を「クローズ」に変更します。ケースは 30日間リストに残り、その後削除されます。

パートナースーパー管理者およびエンタープライズスーパー管理者は、ケースをクローズまたは削除できません。

リストからケースを削除する場合は、ケースを選択し、「ケースの削除」をクリックします。

削除するケースが選択されたケースが表示されたケースリスト。