コンテンツにスキップ

検出

「検出」には、調査が必要になる可能性のあるアクティビティが表示されます。

検出を表示するには、「脅威解析センター > 検出」を参照します。

「検出」は、デバイスにある異常または疑わしいアクティビティで、ブロックされていないものを検出します。これは、悪意のあることが既にわかっているアクティビティを検出してブロックするイベントとは異なります。

検出は、デバイスが Sophos Data Lake にアップロードするデータに基づいて生成されます。

そのデータは、脅威の分類ルールと照合してチェックされます。一致するものがある場合は、検出として表示されます。

このページでは、検出を使用して、潜在的な脅威を探す方法について説明します。

調査」では、関連した検出を自動的にグループ化して、より高度な解析を実現できます。詳細は、調査を参照してください。

検出の設定

まだ検出が生成されていない場合は、デバイスが Sophos Data Lake にデータをアップロードできるように設定する必要があります。次の手順を実行します。

  1. グローバル設定」を参照します。
  2. エンドポイントプロテクション」または「サーバープロテクション」で、「Data Lake へのアップロード」をクリックします。アップロードをオンにします。

    コンピュータ向けアップロードとサーバー向けアップロードは、個別にオンにする必要があります。

これで、検出が表示されるようになります。

データのアップロードの詳細は、Data Lake へのアップロードを参照してください。

検出の詳細の表示

検出を表示するには、「脅威解析センター > 検出」を参照します。

検出は、一致したルールと日付に基づいてグループ化されます。検出リストには、次の情報が表示されます。

  • リスク。リスクは、1 (最低) から 10 (最高) までの範囲で表示されます。デフォルト設定では、スコアが 7 以上の検出のみが表示されます。スコアを参考にして、調査する優先順位を決定できます。
  • 分類ルール。一致したルールの名前。
  • カウント。指定した日に、データが分類ルールと一致した回数。
  • デバイスリスト。ルールが前回一致したデバイス、およびその日に同じ検出が発生した他のデバイスの数。
  • 初回表示最終表示。分類ルールに基づいた、その日の最初と最後の検出。
  • 説明。ルールによって識別される内容。
  • Mitre ATT&CK。該当する Mitre ATT&CK の戦術と手法。

デバイス、ユーザー、関連するプロセスなど、検出の詳細については、右端にある矢印をクリックしてください。

検出リスト

潜在的な脅威の検出

検出されたアクティビティを使用して、他のソフォス機能でブロックされなかった潜在的な脅威の兆候が、デバイス、プロセス、ユーザー、イベントにないかどうかを調査できます。例:

  • システムを検査して常駐、セキュリティの回避、認証情報の窃取などの試行を示す異常なコマンド。
  • 動的なシェルコードの防止イベントなど、攻撃者がデバイスに侵入した可能性があることを示す、ソフォスのマルウェア警告。
  • コンテナエスケープなど、攻撃者が権限を昇格して、コンテナアクセスからコンテナホストに移動していることを示す Linux のランタイム検知。

ほとんどの検出は、MITRE ATT&CK フレームワークに関連しています。特定の戦術と手法に関する情報は参照できます。詳細は、https://attack.mitre.org/ を参照してください。

また、ソフォス製品によって別の場所で検出された疑わしい脅威や既知の脅威の兆候を検索したり、最新版でないソフトウェアや安全でないブラウザを検索したりできます。

ピボットクエリ、エンリッチ化、アクションの使用

検出の詳細は、ピボットクエリを使用して確認できます。

ピボットクエリでは、検出にある重要なデータを選択し、それをより詳細な調査のベースとして使用できます。

検出の詳細を開くと、一部の項目の横に省略記号アイコンが表示されているのがわかります。 省略記号アイコンのスクリーンショット

アイコンをクリックすると、実行できるアクションが表示されます。これは、データの種類によって異なります。

  • クエリ。選択したデータに基づいたクエリを実行できます。Live Discover クエリは、デバイス上のデータを調べます。Data Lake クエリは、デバイスが Sophos Data Lake にアップロードしたデータを調べます。
  • エンリッチ化。VirusTotal や IP Abuse DB などのオープンソースのサードパーティ Web サイトで、検出した潜在的な脅威に関する情報を参照します。
  • アクション。さらに検出または修復を実行します。たとえば、デバイスをスキャンしたり、Sophos Live Response を開始して、デバイスにアクセスして調査したりできます。

表示されている例では、IP アドレスの横にあるアイコンをクリックすると、その IP アドレスに基づいたクエリを実行したり、それに関連するリスクを、サードパーティ Web サイトで参照したりできます。

検出のピボットメニュー

ヘルプの利用方法

ソフォスでは、悪意のあるアクティビティがないかをお客様の環境で監視し、年中無休でお客様に代わって対応する MTR (Managed Threat Response) サービスを提供しています。

詳細は、https://www.sophos.com/ja-jp/products/managed-threat-response.aspx を参照してください。

セキュリティが侵害された恐れがあり、迅速なサポートが必要な場合は、Rapid Response チームにお問い合わせください。これは有償サービスです。

詳細は、https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx を参照してください。

トップへ