脅威の調査に対してカスタム条件を使用する

  1. [DETECTION & RESPONSE] > [脅威の調査] に移動します。
  2. [高度な診断] をクリックします。
  3. [ユーザ指定] を選択します。
  4. 調査するデータの期間を指定します。
  5. 次のオプションのいずれかを選択します。
    • [いずれかの条件に一致]: 指定したいずれかの条件に一致するオブジェクトを検出します。

    • [すべての条件に一致]: 指定したすべての条件に一致するオブジェクトを検出します。

  6. [新しい条件] をクリックし、条件の種類を選択して、有効な情報を指定します。

    詳細については、カスタム条件でサポートされる形式を参照してください。

    今後の調査のために条件を保存するには、をクリックします。

  7. (任意) 既存のカスタム条件を表示するには、[保存済みの条件] をクリックします。
    1. 適用する条件を選択します。
    2. [条件を適用] をクリックします。
  8. [影響の診断] をクリックします。

    [一致したエンドポイント] セクションが表示されます。調査が完了するまでしばらく待ちます。

  9. [一致したエンドポイント] セクションで結果を確認します。

    次の詳細を確認できます。

    列名

    説明

    エンドポイント

    一致するオブジェクトを含むエンドポイントの名前を示します。

    IPv4アドレス

    一致するオブジェクトを含むエンドポイントのIPアドレスを示します。

    IPアドレスはネットワークによって割り当てられます。

    オペレーティングシステム

    エンドポイントで使用されているOSを示します。

    ユーザ

    セキュリティエージェントが一致したオブジェクトを最初に記録したときにログインしていたユーザのユーザ名を示します。

    ユーザ名をクリックすると、ユーザの詳細が表示されます。

    最初に確認された日時

    セキュリティエージェントが一致したオブジェクトを最初に記録した日時を示します。

    詳細

    このアイコンをクリックすると、[一致項目の詳細] 画面が開きます。

    [一致項目の詳細] 画面には、以下の詳細が表示されます。

    • [条件]: 診断で使用される条件

    • [最初に確認された日時]: セキュリティエージェントが一致したオブジェクトを最初に記録した日時

    • [CLI/レジストリでの検出数]: コマンドラインまたはレジストリエントリで検出された一致の数

      値をクリックすると、詳細が表示されます。

    • [影響を受けたエンドポイント]: 不正という評価である場合、同様の一致したオブジェクトが検出されたエンドポイントの数

      この数には、過去90日間に影響を受けたエンドポイントだけが含まれます。

  10. 一致したオブジェクトの実行に至る一連のイベントを確認するには、さらに分析が必要なエンドポイントを選択して、[Root Cause Analysisの生成] をクリックします。

    [Root Cause Analysisの生成] 画面が表示されます。

  11. Root Cause Analysisの名前を指定して、[生成] をクリックします。
  12. [Root Cause Analysis] タブをクリックして、結果を確認します。タスクが完了するまでしばらく待ちます。