アラート調査の実行

検出モデルによってアラートがトリガされた後、アラートの詳細をドリルダウンして詳細な調査を開始できます。

  1. Workbench アプリで、アラートビュータブをクリックします。
  2. 調査するアラートのWorkbench IDリンクをクリックします。

    アラートの詳細画面が表示されます。

    詳細については、「 アラートの詳細」を参照してください。

  3. アラートの 概要ハイライト、および 相関グラフ を確認して分析します。
    1. 概要セクションで、次のいずれかの処理を実行します。
      • 一致したモデルに関する情報を確認します。

      • アラートが影響を与えるエンティティの詳細を確認するには、影響範囲の横にある各アイコンをクリックします。

      • アラートまたは調査のステータスを変更するには、ステータスアイコンをクリックします。

      • 現在のアラートまたは調査にメモを追加するか、既存のメモを確認するには、 メモ アイコン()をクリックします。

    2. ハイライトセクションで、次のいずれかの処理を実行します。

      ハイライトセクションには、アラートをトリガした特定の検出フィルタが表示されます。検出モデルでは、フィルタを使用して、MITREの手法および報告された脅威のインジケータに一致する不審な動作を検出します。 ハイライト セクションのすべてのイベントは、トリガされた検出フィルタの名前で始まります。

      • MITER 手法の詳細については、 手法の横にある関連リンクをクリックしてください。

      • イベントおよびオブジェクト間の関係を確認するには、任意のイベントをクリックして、 相関グラフ セクションで特定のオブジェクトを強調表示します。

      • Searchアプリでイベント UUID を使用して新しい検索クエリを作成するには、SearchイベントUUIDをクリックします。

      • コンテキストメニューを開くには、オブジェクトを右クリックして、使用可能な処理を選択します。

        詳細については、手順3を参照してください。

        注:

        コンテキストメニューは、選択したオブジェクトによって異なり、選択したオブジェクトで使用可能なタスクのみが表示されます。

    3. 相関グラフセクションで、次のいずれかの処理を実行します。
      • 単一ノードの関連ノードを確認するには、目的のノードをクリックします。

      • ノードグループに含まれるすべてのオブジェクトとの関連付けを確認するには、グループ化されたオブジェクトの総数が表示されているノードをクリックし、表示されるサイドパネルに詳細を表示します。

        注:

        同じ種類のオブジェクトは、同じ関連付けを共有している場合にのみグループ化されます。

      • ノードを任意の方向に移動するには、グラフ内でノードをドラッグします。

      • ズームインまたはズームアウトするには、右下のアイコンをクリックします。

  4. 目的のオブジェクトを特定したら、そのオブジェクトを右クリックしてハイライトまたは相関グラフのコンテキストメニューにアクセスします。これにより、 詳細分析 を実行したり、可能な場合は直接処理を実行したりできます。

    詳細については、「 コンテキストメニュー 」および「 高度な分析処理」を参照してください。

    注:

    コンテキストメニューは、選択したオブジェクトによって異なり、選択したオブジェクトで使用可能なタスクのみが表示されます。