EDRのインシデントグラフを操作する

インシデントグラフは、EDRインシデントの視覚的な表現です。これは、ワークロード、攻撃に関与した処理、およびトリガーされた検出の関係を示します。インシデントグラフはすべてのEDRユーザーが利用可能です。

インシデントグラフを使用して、次の操作を行うことができます。

• 攻撃チェーンの構造を一目で理解する。
• どのプロセス、ファイル、ネットワーク接続、およびレジストリエントリが関与していたかを特定します。
• 脅威の検出とそれに関連するMITREの戦術と技術を表示します。
• 個々のノードに移動してサイドバーで詳細を確認します。

一部のEDR対応アクションは現在、インシデントグラフではなくサイバーキルチェーンからのみ利用可能です。プロセスの隔離やワークロードの隔離などのEDR対応アクションを適用するには、サイバーキルチェーンを使用してください。詳細については、サイバーキルチェーンでインシデントを調査する方法を参照してください。

インシデントグラフへのアクセス

インシデントグラフにアクセスするには

1. Cyber Protectコンソールで、[保護] > [インシデント] に進みます。
2. 調査したいインシデントの最も右の列にある をクリックします。
3. インシデントグラフ タブに移動します。

グラフをリフレッシュするには、リフレッシュアイコンをクリックします。

ノードタイプ

インシデントグラフには、EDRインシデントの以下のノードタイプが含まれます：

• ワークロード: 影響を受けたデバイスを表す最上位ノード。すべてのプロセスツリーはこのノードから始まります。
• プロセス: 攻撃に関与する実行中のプロセスを表します。プロセスは、検出された最初のプロセスから最後のプロセスまでの実行チェーンを反映したツリー構造で表示されます。
• ファイル: プロセスに関連付けられたファイルノードを表し、通常は非システムプロセスのプロセスイメージです。
• ネットワーク: プロセスによって行われたネットワーク接続を表します。
• レジストリ: プロセスによってアクセスまたは変更されたレジストリキーまたは値を表します。
• 脅威: プロセス、ファイル、ネットワーク、またはレジストリノードに関連付けられた検出結果を表します。脅威ノードは、信頼度を示すために色を使用します：悪意のある検出には赤、疑わしい検出にはオレンジ。
• IDおよびアクセス管理: EDRエージェントによってローカルに収集されたデータに基づいて、インシデント中に観察されたユーザーアカウントを表します。

ノードアイコンに関する情報は、インシデントグラフアイコン（EDR）を参照してください。

脅威ノードのグループ化

複数の検出が同じエンティティに関連付けられている場合、脅威ノードは次のようにグループ化されます：

• 1つの検出ルールが1つのMITREテクニックに適用される場合、脅威ノードはルールの説明的な名前でラベル付けされます。
• 複数のルールが同じMITREテクニックに適用される場合、1つの脅威ノードが表示され、MITREテクニックでラベル付けされます。ノードをクリックすると、関連するすべてのルールを一覧表示するテーブルが表示されます。
• 検出が複数のMITREテクニックにまたがる場合、'+'アイコン付きの折りたたまれた脅威ノードが表示されます。クリックして、個々のテクニックレベルまたはルールレベルのノードを表示します。
• 悪意のある検出と疑わしい検出は、別々のグループに表示されます。

マルチワークロードインシデントのインシデントグラフ

インシデントが複数のワークロードを含む場合、インシデントグラフは各ワークロードのサブグラフを表示します。詳細については、インシデントグラフでのマルチワークロードインシデントへの対応を参照してください。

XDRが有効な場合のインシデントグラフ

XDR統合が有効化されている場合、インシデントグラフはそれらの統合からの外部ノードを含むように拡張されます。例えば、Eメール、IDおよびアクセス管理、ファイアウォールデータなどです。外部ノードは、ノードアイコンに表示される統合ソースバブルによって識別されます。詳細については、インシデントグラフ (XDR) の操作を参照してください。