脅威の調査に対してOpenIOCファイルを使用する

  1. [DETECTION & RESPONSE] > [脅威の調査] に移動します。
  2. [高度な診断] をクリックします。
  3. [OpenIOCファイル] を選択します。
    注:

    履歴調査でOpenIOCファイルを使用する場合は、次の制限があります。

    • 1度にロードできるOpenIOCファイルは1 つだけです。

    • サポートされる条件はISのみです。他の条件を使用したエントリは無視され、取り消し線が付けられます。

    • サポート対象の痕跡は、収集されたメタデータに適用可能な痕跡のみです。サポート対象外の痕跡を使用したエントリは無視され、取り消し線が付けられます。

      詳細については、サポートされているIOCインジケータを参照してください。

  4. 調査するデータの期間を指定します。
  5. 新しいOpenIOCファイルをアップロードして調査するには、次の手順を実行します。
    1. [OpenIOCファイルのアップロード] をクリックします。
    2. 有効なOpenIOCファイルを選択します。
    3. [開く] をクリックします。
  6. 既存のOpenIOCファイルを使用して調査するには、次の手順を実行します。
    1. [既存のOpenIOCファイルを使用] をクリックします。
    2. ファイルを選択します。
    3. [適用] をクリックします。
  7. [影響の診断] をクリックします。

    [一致したエンドポイント] セクションが表示されます。調査が完了するまでしばらく待ちます。

  8. [一致したエンドポイント] セクションで結果を確認します。

    次の詳細を確認できます。

    列名

    説明

    エンドポイント

    一致するオブジェクトを含むエンドポイントの名前を示します。

    IPv4アドレス

    一致するオブジェクトを含むエンドポイントのIPアドレスを示します。

    IPアドレスはネットワークによって割り当てられます。

    オペレーティングシステム

    エンドポイントで使用されているOSを示します。

    ユーザ

    セキュリティエージェントが一致したオブジェクトを最初に記録したときにログインしていたユーザのユーザ名を示します。

    ユーザ名をクリックすると、ユーザの詳細が表示されます。

    最初に確認された日時

    セキュリティエージェントが一致したオブジェクトを最初に記録した日時を示します。

    詳細

    このアイコンをクリックすると、[一致項目の詳細] 画面が開きます。

    [一致項目の詳細] 画面には、以下の詳細が表示されます。

    • [条件]: 診断で使用される条件

    • [最初に確認された日時]: セキュリティエージェントが一致したオブジェクトを最初に記録した日時

    • [CLI/レジストリでの検出数]: コマンドラインまたはレジストリエントリで検出された一致の数

      値をクリックすると、詳細が表示されます。

    • [影響を受けたエンドポイント]: 不正という評価である場合、同様の一致したオブジェクトが検出されたエンドポイントの数

      この数には、過去90日間に影響を受けたエンドポイントだけが含まれます。
  9. 一致したオブジェクトの実行に至る一連のイベントを確認するには、さらに分析が必要なエンドポイントを選択して、[Root Cause Analysisの生成] をクリックします。

    [Root Cause Analysisの生成] 画面が表示されます。

  10. Root Cause Analysisの名前を指定して、[生成] をクリックします。
  11. [Root Cause Analysis] タブをクリックして、結果を確認します。タスクが完了するまでしばらく待ちます。
親トピック: 脅威の調査(※この機能を使用するには専用のライセンスが必要です)