分析チェーン · Customer Self-Service

ビュー:

[分析チェーン] タブには、Root Cause Analysisが表示されるほか、調査に役立つ可能性のあるその他の情報も表示されます。

情報	説明
対象エンドポイント	Root Cause Analysisレポートが発生したエンドポイントの詳細が表示されます。エンドポイント名とユーザ名をクリックすると、詳細が表示されます。エンドポイントをネットワークから切断するには、[エンドポイントの隔離] をクリックします。隔離されている間、エージェントが通信できるのはサーバのみです。注: 隔離したエンドポイントでセキュリティの脅威を解決すると、[ディレクトリ] > [ユーザ/エンドポイント] 画面の次の場所に、隔離したエンドポイントのネットワーク接続を復元するオプションが表示されます。 [エンドポイント] > [すべて]: 表内のエンドポイント名をクリックし、表示された画面で [タスク] > [復元] の順にクリックします。 [エンドポイント] > [フィルタ] > [ネットワーク接続] > [隔離済み]: 表内のエンドポイントの行を選択し、[タスク] > [ネットワーク接続の復元] の順にクリックします。
最初に確認されたオブジェクト	一致したオブジェクトを作成した可能性が最も高いオブジェクトを示します。多くの場合、これが標的型攻撃の検出ポイントです。 Root Cause Analysisでオブジェクトを特定するには、オブジェクトにマウスを重ねて、をクリックします。
一致したオブジェクト	調査条件に一致するオブジェクトまたはオブジェクトのリストが表示されます。 Root Cause Analysisでオブジェクトを特定するには、オブジェクトにマウスを重ねて、をクリックします。
注意が必要なオブジェクト	トレンドマイクロの既存の脅威インテリジェンスに基づいて、チェーン内の不正な可能性のあるオブジェクトが表示されます。値は、チェーン内で注意が必要な一意のオブジェクトの数を示しています。クリックすると、注意が必要なオブジェクトのリストが表示されます。 Root Cause Analysisでオブジェクトを特定するには、オブジェクトにマウスを重ねて、をクリックします。
Root Cause Analysis領域	Root Cause Analysisマップが表示されます。

Root Cause Analysis領域では、イベントに関与するオブジェクトの分析が図示されます。

注:

Root Cause Analysisレポートでノードの数が表示できる最大数を超える場合は、主要なRoot Cause Analysisレポートのみが表示されます。この問題を回避するには、調査条件を調整してください。

領域内を移動するには、領域をクリックして目的の方向にドラッグします。また、この領域には次のナビゲーションオプションも用意されています。

アイコン	説明
	Root Cause Analysisには、一致したRoot Cause Analysisレポートが1つ以上含まれている可能性があります。ドロップダウンをクリックして、選択したエンドポイントの他のRoot Cause Analysisレポートを表示できます。
	事前診断に基づく調査リストのオブジェクトを使用して事前診断に基づく調査を開始する場合にクリックします。事前診断に基づく調査リストにオブジェクトがない場合、このオプションは使用できません。このオプションを有効にするには、一致したオブジェクトまたは注意が必要なオブジェクトを事前診断に基づく調査リストに1つ以上追加します。
	クリックすると、全画面モードになります。もう一度クリックすると、全画面モードが終了します。
	クリックすると、拡大表示または縮小表示されます。
	マウスを重ねると、Root Cause Analysisレポートで使用されている記号の説明が表示されます。

Root Cause Analysis領域内のオブジェクトにマウスを重ねると、その他の詳細が表示されます。オブジェクトをクリックすると、次のタブを含むサイドパネルが表示されます。

[プロファイル] タブには、選択したオブジェクトの種類に該当する詳細が表示されます。

一部の詳細しか表示されないオブジェクトや、実行時点で詳細がまったくないオブジェクトもあります。

評価が"不正"または"不審"のオブジェクトには、Threat Connectへのリンクが含まれています。

[一致したオブジェクト] と [注意が必要なオブジェクト] の場合、このタブには次のオプションも追加で表示されます。
- オブジェクトの強制終了: 対象エンドポイントの現在の状態でのみ、実行中のオブジェクトのインスタンスをすべて強制終了します。この処理は、種類が「プロセス」の未評価、不正、不審なオブジェクトに対してのみ実行できます。コマンドが成功したかどうかを確認するには、[運用管理] > [コマンド追跡] に移動します。
- 不審オブジェクトリストに追加: 対象エンドポイントの現在の状態でのみ、実行中のオブジェクトのインスタンスをすべて強制終了し、そのオブジェクトを[ユーザ指定の不審オブジェクト] リストに追加します。リストに追加できるオブジェクトの種類は次のとおりです。
  - ファイル
  - プロセス
  - IPアドレス
  - DNS
  注:
  アプリケーションコントロールが有効になっている場合、[ユーザ指定の不審オブジェクト] リストに追加されたオブジェクトのハッシュ値に一致するプロセスは、すべてのエンドポイントで実行を許可されません。また、Endpoint Sensorは種類が「プロセス」のオブジェクトをリストに追加する前に強制終了し、アプリケーションコントロールではそれらの再開が阻止されます。
- 事前診断に基づく調査リストに追加: オブジェクトを新しい事前診断に基づく調査の条件として追加します。今すぐ調べるには、をクリックします。
[関連するオブジェクト] タブには、一致したオブジェクトの依存関係がすべて表示されます。

これらは、一致したオブジェクトの実行に必要なオブジェクトです。このタブには次の詳細が表示されます。

プロパティ	説明
処理	オブジェクトによって実行された処理を示します。
ログ	記録された処理の日時を示します。
レーティング	トレンドマイクロの脅威インテリジェンスに基づく、オブジェクトに割り当てられたレーティングを示します。
感染エンドポイント	感染したエンドポイント (ある場合)を示します。
送信先パス	オブジェクトの送信先を示します。

[関連するオブジェクト] タブは、次のオプションを使用して管理できます。

このタブには、指定した処理に基づいてオブジェクトをフィルタできるドロップダウンがあります。利用可能な処理をすべて表示するには、ドロップダウンをクリックします。
オブジェクトの詳細を表示するには、[詳細の表示] をクリックします。

注:

データをエクスポートするには、をクリックし、次のいずれかを実行します。

すべてのRoot Cause Analysisレポートを.pngファイルとしてエクスポートするには、[分析チェーン] を選択します。
すべてのデータをCSVファイルとしてエクスポートするには、[オブジェクトの詳細] を選択します。