個別ノードの調査

インシデントグラフで任意のノードの詳細を表示できます。これにより、特定のノードを詳しく調べ、インシデントのコンテキストで各ノードが何を表しているかを調査できます。

表示されるノードは、実装されているXDR統合によって異なります。ノードの詳細は[概要]タブに表示され、そのノードで使用可能な対応アクションは [対応アクション] タブに表示されます。

対応アクションは、対応機能をサポートするXDR統合からのノードにのみ利用可能です。インシデントグラフから直接EDRノード(プロセス、ファイル、ネットワーク、レジストリノードなど)に対する対応アクションは利用できません。EDRノードに対応アクションを適用するには、サイバーキルチェーンを使用してください。

個別のノードを調査するには

  1. Cyber Protectコンソールで、[保護] > [インシデント] に進みます。
  2. 表示されたインシデントのリストで、調査するインシデントの最右列のをクリックします。
  3. インシデントグラフ タブに移動します。

  4. 該当するノードに移動し、クリックすると、そのノードのサイドバーが表示されます。

    例えば、EメールまたはIDおよびアクセス管理ノードをクリックすると、そのノードのサイドバーが開きます。

  5. サイドバーのタブに含まれる情報を調査します。
    • 概要: このタブには、ノードの種類に応じて、選択したノードの詳細が表示されます。

      • 攻撃の指標(IoA)ノード: 検出タイムスタンプ、検出重大度、検出の説明、MITRE戦術と技術、脅威名が含まれます。

      • 脅威の指標(IoC)ノード: 各IoCノードタイプ(プロセス、ファイル、またはURL)には、それぞれ独自のフィールドセットがあり、これらは Endpoint Detection and Response(EDR)でも使用されます。詳細については、サイバーキルチェーンで個別のノードを調査するを参照してください。

      • 統合ノード: 統合に応じて、選択したノードの詳細が含まれます。

        たとえば、Teams、OneDrive、SharePointノードには、ファイル名、作成日、ファイルを作成したユーザー、ファイルを最後に変更したユーザー、ファイルサイズが含まれています。

        同様に、Eメールノードには、送信者のIPアドレス、名前、使用したクライアント、各添付ファイルの名前、形式、サイズに関する詳細が含まれています。

    • 対応アクション: このタブには、統合に応じて統合ノードに利用可能な対応アクションが一覧表示されます。詳細については、統合ノードに対応アクションを適用するを参照してください。