コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=active-threat-response-mdr-logging

ログ

MDR、Sophos X-Ops、サードパーティの脅威フィードのログは、ログビューアの管理およびアクティブな脅威対応モジュールで確認できます。

エンドポイントの脅威の詳細

脅威が検出されると、ファイアウォールは Sophos Central が管理するエンドポイントにホスト、ユーザー、プロセスなどの追加情報を照会して、感染の痕跡 (IoC) を見つけます。

脅威の詳細は、ログビューアアクティブな脅威対応モジュールの「プロセスユーザー」列、「実行ファイル」列、およびログの詳細で確認できます。これは、「レポート > ネットワークと脅威 > アクティブな脅威対応」の「同期済みの IoC」でも確認できます。

エンドポイントの脅威の詳細は以下の通りです。

  • host_process_user
  • endpoint_id
  • execution_path

エンドポイントのログ。

エンドポイントの詳細。

ホスト、ユーザー、プロセスなどの詳細情報は、「アクション」が「ログしてドロップ」または「ブロック」の場合にのみ表示されます。

MDR セキュリティアナリストの監査 ID

MDR セキュリティアナリストが IP アドレス、ドメイン、URL などの IoC を追加または削除すると、イベントがログに記録され、セキュリティアナリスト (audit_ID) のアクションと ID が示されます。

アクションと audit_ID は、ログビューアの管理モジュールと、Sophos Central の「マイプロダクト > Firewall Management > タスクのキュー」で確認できます。