脅威グラフの解析
脅威グラフは、詳細ページを参照し、そこにある解析ツールを使用して調査できます。
「脅威グラフ」ページで該当する脅威グラフを探します。その名前をクリックし、簡素化されたイベントチェーン、概要、影響を受けたアーティファクトの詳細 (プロセス、ファイル、キー)、および脅威の流れを示す図を表示します。以下のスクリーンショットは、Windows エクスプローラーで eicar.com
ファイルを開いた際に EICAR-AV-Test が検出された例を表示しています。
操作方法の概要は、脅威グラフの脅威の調査およびクリーンアップ方法を参照してください。
すべてのオプションの詳細は、このページにある各セクションをお読みください。
注
表示されるオプションは、購入済みのライセンス、および脅威の重要度によって異なる場合があります。
脅威グラフを使用して検出を調査する方法の詳細については、「脅威グラフの例」を参照してください。マルウェア検出。
サマリー
「サマリー」タブには、次の項目を含む、脅威のサマリーが表示されます。
- 根本原因: 脅威がシステムに侵入した経路。
- 関連する可能性のあるデータ: 重要なデータを含む可能性のあるファイル。ファイルをチェックして、データが暗号化されたり、盗まれたりしていないかを確認してください。
- 発生場所: デバイス名とそのユーザー。
- 発生日時: 検出日時。
推奨される次のステップ
「推奨される次のステップ」ペインには次の内容が表示されます。
優先度: 優先度は自動的に設定されます。変更可能です。
状態: デフォルトのステータスは「新規」です。変更可能です。
注
一度「進行中」に設定したステータスを「新規」に戻すことはできません。
デバイスの隔離: グラフの優先度が高く、かつ Intercept X Advanced with XDR または Intercept X Advanced for Server with XDR を導入している場合のみに表示されます。潜在的な脅威を調査する間、デバイスを隔離することができます。
デバイスは、引き続き Sophos Central から管理することができます。隔離されたデバイスから、解析用にソフォスにファイルを送信することもできます。
隔離したデバイスが、制限された環境下で他のデバイスと通信することも許可できます。詳細は、デバイスの隔離の除外を参照してください。
隔離したデバイスは、いつでも復元することができます。「推奨される次のステップ」の下に「隔離したコンピュータの復元」オプションが表示されます。
注
デバイスが既に自動的に隔離されている場合は、「デバイスの隔離」オプションは表示されません。詳細は、脅威対策ポリシーの「デバイスの隔離」を参照してください。
デバイスの検索: このリンクを使用して、影響を受けたデバイスに対して脅威検索を実行することができます。
解析
「解析」タブには、マルウェア感染で発生した一連のイベントが表示されます。
タブの右側のメニューから表示する内容の詳細度を選択できます。
- 直接パスの表示: 根本原因から、感染が検出された場所 (「ビーコン」) の項目までの経路に、直接かかわりのある一連の項目が表示されます。
- 詳細グラフの表示: 根本原因、ビーコン、影響を受けたアーティファクト (アプリケーション、ファイル、キー)、感染パス (矢印)、感染の仕組みが表示されます。このオプションはデフォルトで選択されています。
各種アーティファクトの表示/非表示を切り替えるには、図の上のチェックボックスを使用します。
詳細を表示するには、項目をクリックします。図の右側に詳細ペインが開きます。
グラフの記録
「グラフの記録」タブには、ソフォスや管理者による作成からはじまる、脅威グラフの履歴が表示されます。コメントを投稿して、実行されたアクションやその他の関連情報を記録できます。
プロセスの詳細
影響を受けた項目をクリックすると、「プロセスの詳細」ページが表示されます。そのファイルが既にソフォスに送信済みの場合は、最新の脅威解析情報が表示されます。
ファイルがまだ送信されていない場合、または脅威解析情報が更新されているかを確認する場合は、「最新の解析情報を要求」をクリックします。
ファイルのグローバルレピュテーションに関する最新情報、および調査が必要かどうかが表示されます。
アーティファクトのリスト
マルウェア攻撃の図の下に表示されるリストです。業務関連ファイル、プロセス、レジストリキー、IP アドレスなど、影響を受けた項目がすべて表示されます。
タブの右上にある「CSV 形式で出力」をクリックして、影響を受けたアーティファクトの一覧をカンマ区切り (CSV) ファイルとして出力できます。
一覧には次の項目が表示されます。
- 名前: 詳細ペインを表示するには、名前をクリックします。
- 種類: 業務関連ファイルやレジストリキーなど、アーティファクトの種類。
- レピュテーション
- ログ日時: プロセスがアクセスされた日時。
- 相互作用
フォレンジック分析のスナップショットの作成
デバイスから、フォレンジック分析のスナップショットを作成できます。スナップショットは、デバイスのアクティビティに関するソフォスのログからデータを取得し、デバイスに保存します。フォレンジック分析のスナップショットの詳細は、フォレンジック分析のスナップショットを参照してください。
指定した Amazon Web Services (AWS) S3 バケットに保存することもできます。これを用いて解析を行うことができます。
データの読み取りにはコンバータ (ソフォスで提供) が必要です。
注
スナップショットに必要なデータの量とアップロード先を選択できます。これを実行するには、「グローバル設定 > フォレンジック分析のスナップショット」を参照します。ヘルプの公開時点では、これらの機能がリリースされていないこともあります。
スナップショットを作成するには、次の手順を実行します。
-
脅威グラフの「解析」タブを参照します。
または、デバイスの詳細ページで、「状態」タブを開きます。
-
「フォレンジック分析のスナップショットの作成」をクリックします。
- フォレンジック分析のスナップショットの AWS S3 バケットへのアップロードの手順に従ってください。
生成したスナップショットは、%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
にあります。
検出から生成されたスナップショットは、%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\
にあります。
制限事項
保存したスナップショットにアクセスするには、タンパープロテクションのパスワードにアクセスできる管理者であり、コマンドプロンプトを管理者権限で実行する必要があります。