コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/enterprise/help/ja-jp/index.html?contextId=mdr-weekly-and-monthly-report

MDR 週次および月次レポート

MDR アクティビティに関する週次および月次サブ管理サイトレポートについて説明します。

サブ管理サイトのサマリー

サブ管理サイトのサマリーのセクションには、サブ管理サイトの合計、使用されているレスポンスモード、統合を使用しているサブ管理サイト、およびアカウントの正常性スコアに関する情報が表示されます。

レスポンスモード

レスポンスモードでは、各レスポンスモードのサブ管理サイトの数を表示します。

統合を使用したサブ管理サイトカウント

統合を使用したサブ管理サイトカウントは、アクティブにデータを送信している統合が有効になっているサブ管理サイトの数を表示します。統合が有効になっていない場合、サブ管理サイトはこのセクションではカウントされません。

アカウントの正常性スコア

アカウントの正常性スコアには、特定のスコア範囲内のサブ管理サイトの数と全体的な正常性スコアが表示されます。これは、お使いのデバイスまたはポリシーが推奨される安全な設定を使用しているかどうか示しています。また、さまざまな種類のヘルスチェックの中で最も低いスコアも反映されます。

ソフォスのアカウントの状態のチェックの推奨項目には、認証情報の盗難や権限の昇格を防止するためにエクスプロイト対策機能を有効にする、C&C サーバーとの通信を妨害するために悪意のあるトラフィックの検出機能を有効にする、などの設定があります。アカウントの状態のチェックを使用して、セキュリティ体制をプロアクティブに改善したり、セキュリティ機能に悪影響を与える可能性のある弱点を改善したりできます。

サブ管理サイトのサマリーセクション。

検出

検出の変化率を示します。検出はテクノロジーによって生成され、脅威の可能性に基づいて重み付けおよび分類されるアクティビティの指標です。多くの場合、このようなデータポイントは単に情報を提供する役目を持ち、それのみに基づいてケースが作成されることはありません。多くの場合、検出には、コマンドの実行、開かれたネットワークソケット、認証イベント、実行中のアプリケーションなどの項目が含まれます。

ケース

ケースの変化率を示します。検出主導型、または手動で作成されたかにかかわらず、検出が真の脅威であり、悪意のあるアクティビティが発生しているかどうかを判断するためにケースは調査されます

エスカレーション

サブ管理サイト入力または MDR Ops だけでは実行できないアクションが必要なケースの変化率を示します。

アクティブな脅威

アクティブな脅威の変化率を示します。アクティブな脅威は、サブ管理サイトのネットワーク内で確認された攻撃のインジケータ (IOA) または確認された侵害のインジケータ (IOC) です。

検出、ケース、エスカレーション、およびアクティブな脅威に関するデータです。

脅威関連の検出による上位サブ管理サイト

MDR Ops チームは、常に検出機能を改善しており、当然のこととして、レポートに表示される検出数の変動につながる可能性があります。このような調整は、脅威の特定にあたり、限られた範囲でしか役に立たなかった検出項目を無視したり、新たな脅威を特定するために、脅威の範囲と可視性を追加したりするために行われます。

このセクションでは、1か月または1週間の間に確認された上位サブ管理サイト検出ボリュームに関するインサイトを提供します。これにより、MDR Opsチームは、潜在的な攻撃アクティビティの転換点を特定することができます。

月次の脅威関連の検出による上位サブ管理サイト。

検出の分類サマリー

MDR 検出は、ネットワークで検出された検出の全体的な種類を理解するために、おおよそのカテゴリに分類されます。たとえば、一般的な攻撃ツール、PowerShell 実行、永続性などがあります。すべての検出が疑わしいアクティビティや悪意のあるアクティビティを示しているわけではありません。一部は、収集された良性のデータに関連付けられている可能性があります。

検出の分類サマリー。

MITRE ATT&CK フレームワーク

MDR 検出は、MITRE ATT&CK フレームワークの特定の手法にマッピングされます。このフレームワークは、広く使用されている攻撃者の行動のサポートデータベースで、実環境の検出に基づいています。週次または月次レポートのこのセクションには、検出の内訳がパーセンテージで表示されます。

すべての検出が悪意のあるアクティビティを表すわけではなく、良性の動作が既知の攻撃戦術や手法と一致する場合があります。さらに、MDR ケースの総数は、確認できた攻撃戦術の総数と一致しない場合があります。これは主に次の 2つの理由で発生します。

  • 1つの MDR ケースに複数の攻撃戦術が含まれる場合があるため、戦術の総数がケースの数よりも大きくなります。
  • 正常性チェックケースなどの一部の MDR ケースでは、攻撃戦術が含まれていない場合があり、その結果、確認された戦術よりも多くのケースが発生することになります。

MITRE ATT&CK フレームワーク。

サブ管理サイトの状態

サブ管理サイトのセクションには、各サブ管理サイトの週次または月次 MDR アクティビティレポートの統計サマリーが表示されます。

サブ管理サイトの状態のセクション。