コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=threat-lineage

脅威リネージ

この機能を使用するには、Sophos EDR、XDR、または MDR が必要です。

脅威リネージについて

脅威リネージは、検出に至るまでのプロセスと検出をトリガーした要因を図形式で示しています。脅威がどのように発生したか、環境に影響を与えた場所、およびその結果を理解するのに役立ちます。

脅威リネージの表示

検出の詳細ページから脅威リネージグラフにアクセスできます。

  1. 脅威解析センタ- > 検出」に移動します。

    または、「脅威解析センター > ケース」に移動し、「検出」 タブを選択します。

  2. 目的の検出を見つけて、テーブル内の行の任意の場所をクリックします。

    検出の詳細ペインは、画面の右側にスライドして表示されます。

  3. 詳細ペインで「リネージ」タブを選択します。

    リネージ」タブが表示されない場合、この検出は新機能をサポートしていません。

    検出の詳細ペインには、「リネージ」タブが表示されます。

  4. 「リネージグラフを開く」をクリックします。

    「リネージ」タブページ。

  5. まだ使用可能なグラフがない場合は、「生成」をクリックします。

    検出が "ケース" を生成した場合、グラフは自動的に生成され、ここで既に利用可能になります。ケースの詳細は、ケースを参照してください。

    「生成」ボタンが表示された「リネージ」ページ。

検出をトリガーしたプロセスと、それに至ったプロセスのグラフが表示されます。

線グラフ。

リネージグラフは 7日間使用できます。Sophos XDR Data Lake がデータを保持している期間 (通常は90日間) は、いつでも再生成できます。

脅威リネージへのキー

脅威リネージグラフでは、プロセスとアクティビティを表すために以下のアイコンを使用しています。

アイコン プロセス 説明
透明の六角形。 プロセス 検出に至るまでのプロセス
赤の六角形。 影響を受けるプロセス 疑わしい、または悪意のある可能性のあるプロセス
赤い稲妻。 検出が開始 検出を開始させたプロセス
赤色の警告マーク。 キーとなるアクティビティ 後のイベントの進行や結果に影響を与えるピボットアクション

このアイコンのリストとグラフ内の各プロセスの種類の番号を表示するには、ページ右上の凡例アイコンをクリックします。

凡例アイコン。

グラフは、直接のリネージにはないが、リネージのプロセスによって開始されたプロセスやアクティビティを示すこともできます。これらは、次に示すように、メイングラフから分岐します。これらについての詳細は、リネージにプロセスをさらに表示を参照してください。

リネージ内のプロセスによって開始された追加プロセスを示すグラフです。

プロセスの詳細の表示

詳細は次のとおりです。

  • プロセスにカーソルを合わせます。基本的な詳細とコマンドラインが表示されます。

    マウスオーバーで詳細が表示されたプロセス。

  • ピボットのオプションを使用します。プロセスの横にある 3つのドット 3つのドットアイコン。 をクリックします。続いて Live Discover で実行するクエリを選択できます。

    ピボットメニューが表示されたプロセス。

  • プロセスをクリックします。グラフの下に「情報」タブと「アクティビティ」タブが開きます。

    情報] タブにはプロセスの詳細とコマンドラインが表示されます詳細の横にある 3つのドット 3つのドットアイコン。 をクリックして、グラフで使用可能な同一のピボットオプションを使用します。

    Sophos AI 機能がある場合は、AI アイコン AI アイコン。 をクリックしてコマンドラインの解析を生成します。

    アクティビティ」タブの詳細については、プロセスに関連付けられたアクティビティの表示を参照してください。

    「情報」タブ。

プロセスに関連付けられたアクティビティの表示

プロセスに関連付けられているすべてのアクティビティを表示できます。これらのアクティビティには、リネージグラフにない他の関連プロセスが含まれます。

アクティビティを参照するには、次の手順を実行します。

  1. グラフ内のプロセスをクリックして、その詳細を開きます。

  2. アクティビティ」タブを選択します。

    • リネージが自動的に生成され、影響を受けるプロセスを表示している場合、タブにはアクティビティが既に表示されています。
    • リネージを手動で生成した場合、タブは最初は空です。次の手順の説明に従ってデータを読み込む必要があります。

    「アクティビティ」タブ。

  3. タブの右側にある「エンリッチ化」をクリックして、データを読み込みます。

    エンリッチ化」を初めてクリックすると、プロセスが開始された時点から始まる最初の 3日間のデータが表示されます。「エンリッチ化」をクリックするたびに、さらに 3日間のデータが追加され、さらにアクティビティが一覧表示されます。

    エンリッチ化」タイムラインの先頭にあるポップアップに、「初期検出」の日時が表示されます。

表示される情報は、次のように変更できます。

  • 行を展開すると、生データが表示されます。
  • 種類、アクションなどでアクティビティをフィルタリングします。

また、このリストからリネージグラフにプロセスを追加することもできます。詳細は、リネージにプロセスをさらに表示を参照してください。

リネージにプロセスをさらに表示

プロセスの詳細の「アクティビティ」タブには、直接的な脅威リネージに含まれない関連プロセスが追加で表示されます。

これらのプロセスをリネージグラフに追加して、脅威の調査に役立てることができます。

  1. プロセスをクリックして、その「アクティビティ」タブを開きます。
  2. アクティビティのリストで、表示する関連プロセスを探します。

  3. プロセスの横にある目のアイコンをクリックして、プロセスを表示します。プロセスを非表示にするには、アイコンをもう一度クリックします。

    目のアイコン。

リネージのエクスポート

リネージデータを CSV ファイルにエクスポートするには、エクスポートのアイコンをクリックします。

エクスポート アイコン。

エクスポート中にエラーが発生した場合は、グラフ内のいずれかのプロセスを選択し、そこからエクスポートを試みます。

リネージの検索

リネージを検索するには、ページ左上の検索バーに用語を入力します。

一致する結果は、ページ下部の「情報」、「アクティビティ」、および「一致する結果」タブに表示されます。