脅威グラフ
この機能は、Intercept X、Intercept X Advanced with XDR、Intercept X for Server with XDR のライセンスをご使用のお客様のみが利用可能です。
脅威グラフでは、マルウェア攻撃を調査してクリーンアップできます。
攻撃の感染元や感染方法、および感染したプロセスやファイルを特定できます。これによって、セキュリティを改善することができます。
Intercept X Advanced with XDR ライセンス、または Intercept X Advanced for Server with XDR ライセンスをお持ちの場合は、次の操作も実行できます。
- 影響を受けたデバイスの隔離。
- 脅威の影響を受けたネットワーク上の他の項目の検索。
- 脅威のクリーンアップおよびブロック。
- さらに詳細な脅威解析情報を取得。
脅威グラフは、詳細な調査を要するマルウェアが検出されるたびに作成されます。
制限事項
この機能は現在、Windows および Mac デバイスのみに対応しています。
制限事項
ディープラーニング (ML PUA) による不審なアプリケーションの検出では、脅威のグラフは作成されません。ただし、Live Discover の脅威ハンティングクエリーを使用して、報告されたファイル名または SHA-256 ハッシュ値をデバイスで検索できます。
脅威の調査およびクリーンアップ方法
ここでは、グラフの一般的な調査方法について概説します。すべてのオプションの詳細は、脅威グラフの解析を参照してください。
一部の機能は、 Intercept X Advanced with XDR または Intercept X for Server with XDR ライセンスをお持ちの場合のみに利用できます。これらを "XDR が必要" とマークしました。
-
「脅威解析センター」を参照し、「脅威グラフ」をクリックした後、グラフをクリックします。
グラフの詳細ページが表示されます。
-
「サマリー」を確認して、攻撃の開始場所と感染した可能性のあるファイルを把握します。
-
「推奨される次のステップ」を確認します。グラフの優先度を変更したり、調査が必要なプロセスを表示したりできます。
これが優先度の高いグラフの場合は、「デバイスの隔離」(XDR が必要) をクリックします。ネットワークから感染デバイスを隔離します。デバイスは、引き続き Sophos Central から管理することができます。
注
デバイスが既に自動的に隔離されている場合は、このオプションは表示されません。
-
「解析」タブに、攻撃の進行状況を示す図が表示されます。各項目をクリックすると、詳細が表示されます。
- 根本原因または他のプロセスをクリックして、詳細を表示します。
-
ソフォスから最新の解析情報を受信するには、「最新の解析情報を要求」(XDR が必要) をクリックします。
解析用にファイルがソフォスに送信されます。ファイルのレピュテーションや拡散状況に関する最新情報がある場合は、数分後に、ソフォスが提供する情報がここに表示されます。
制限事項
XDR ライセンスがある場合は、より詳細な解析情報が表示されます。詳細は、プロセスの詳細を参照してください。また、表示される手順に従って、さらに検出とクリーンアップを実行できます。
-
「項目の検索」(XDR が必要) をクリックして、影響を受けた他のファイルをネットワークで検索します。
「項目検索の結果」ページで、影響を受けた他のファイルが表示される場合は、「デバイスの隔離」をクリックして、影響を受けたデバイスを隔離できます。
-
脅威グラフの詳細ページに戻り、最新の脅威解析情報を参照します。
-
悪意のあるファイルであるということ確認できる場合は、「クリーン&ブロック」(XDR が必要) をクリックします。
検出元の Windows デバイスで項目がクリーンアップされ、すべてのデバイスでその項目がブロックされます。詳細は、ブロックリストを参照してください。
-
脅威への対処が完了したら、必要に応じて隔離したデバイスを復元できます。「推奨される次のステップ」を参照し、「隔離したコンピュータの復元」をクリックします。
複数のデバイスを隔離した場合は、「設定 > 管理者が隔離したデバイス」を選択して、復元します。詳細は、管理者が隔離したデバイスを参照してください。
-
「脅威グラフ」のリストに戻り、該当するグラフを選択して、「クローズ」をクリックします。
脅威グラフのリストについて
「脅威グラフ」には、過去 90日間に作成されたすべての脅威グラフが一覧表示されます。
MDR ライセンスがある場合、このページは、以下のような方法で生成された脅威グラフに対応する複数のタブに分割されます。
- ソフォスが自動生成。
- Sophos Central の管理者が生成。詳細は、管理者が生成した脅威グラフを参照してください。
- Sophos Managed Detection and Response (MDR) 部門が生成。現時点では使用されていません。
MDR ライセンスがない場合、ページはタブに分割されません。
グラフは、「デバイス」、「状態」や「優先度」で絞り込み表示できます。
「検索」機能を使用して、特定のユーザー、デバイス、または脅威名 (Troj/Agent-AJWL など) に関するグラフを表示できます。
各グラフについて、リストには次の情報の大半が表示されます。表示される列は、ページがタブに分割されているかどうかによって異なります。
- 状態: デフォルトのステータスは「新規」です。これはグラフを表示するときに変更できます。
- 作成日時: グラフが作成された日時。
- 優先度: グラフの作成時に優先度が指定されます。これはグラフを表示するときに変更できます。
- 名前: 脅威名をクリックするとグラフの詳細が表示されます。
- 生成者: 脅威グラフを生成した Sophos Central の管理者。
- ユーザー: 感染を引き起こしたユーザー。
- デバイス: 感染を引き起こしたデバイス。
- デバイスの種類: 「コンピュータ」、「サーバー」など、デバイスの種類。
いずれかの列を選択して、グラフを並べ替えることができます。
管理者が生成した脅威グラフ
脅威グラフは、詳細な調査を要するマルウェアが検出されるたびに自動的に生成されます。ただし、脅威グラフを手動で生成することもできます。
Live Discover クエリの結果からグラフを生成できます。このオプションは、一部のクエリでは使用できません。
以下の手順は一例です。
脅威グラフを生成するには、次の手順を実行します。
- 「脅威解析センター > Live Discover」の順に選択します。
- 「Live Discover 」で、「クエリ」セクションを開きます (まだ開いていない場合)。
- カテゴリ (例: ファイル) を選択します。
- たとえば、「ファイルハッシュ」をクリックして、実行するクエリを選択してください。
-
クエリを次のように設定します。
- エンドポイントクエリを選択した場合は、クエリを実行するエンドポイントを選択します。
- Data Lake クエリを選択した場合は、クエリを実行する時間範囲を選択してください。すべてのエンドポイントが常に含まれます。
-
「クエリの実行」をクリックします。
結果が表示されます。
-
結果で、ファイルの「パス」の横にある 3つのドット
をクリックします。
- 「アクション」で、「脅威グラフの生成」をクリックします。
脅威グラフは、「脅威グラフ」 ページの「管理者が生成」タブに追加されます。
Live Discover の使用に関する詳細は、Live Discoverを参照してください。