調査グラフのノードと矢印について

適用対象: WatchGuard Advanced EPDR

調査グラフ ウィンドウには、色、情報パネル、他のリソースを使用して、エンティティとその間の関係に関する情報が表示されます。Endpoint Security では、プロセス ツリー テンプレートを使用して、この情報がグラフで表示されます。このテンプレートは、特定のプロセスの実行ツリーをグラフィカルに表現したものです。ノードは操作に関与したエンティティ (プロセス、ファイル、通信、操作ターゲットなど)、矢印は操作を示しています。

グラフには、以下のような異なるプロパティがあります。

  • ノードの色とアイコン — 操作に関与した脅威エンティティおよび項目で実行されたアクションに基づきノードが分類されています。
  • 矢印の色とスタイル — これは、項目がブロックされたかどうか、ノード間で実行されたアクションの数と方向、およびプロセスに関する情報を示すものです。

ノードの色とアイコン

ノードに付いているラベルは、エンティティ名を示しています。エンティティをクリックすると、右側に情報ペインが開き、そのエンティティに関する情報が表示されます。ノードの色は、脅威の種類を示しています。

説明

マルウェア アイコン

マルウェアとして分類された項目

PUP、不審、または未分類として分類された項目

(元の色)

グッドウェアとして分類された項目

ノード アイコンは、操作に関与した異なるエンティティを表しています。

アイコン 説明 アイコン 説明

プロセス。既知のソフトウェア パッケージに属している場合は、プロセス アイコンが表示されます。

圧縮ファイル

リモート スレッド

実行可能ファイル

ライブラリ

スクリプト ファイル

保護

Windows レジストリ ブランチ値

フォルダ

通信に使用された URL

非実行ファイル

通信の IP アドレス

ステータス アイコンは、項目に対して実行されたアクションを示すものです。

アイコン 説明 アイコン 説明

削除されたファイル

検疫されたファイル

駆除されたファイル

削除されたプロセス

矢印の色とスタイル

矢印に付いているラベルは、プロセスによって実行されたアクションの名前を示しています。ラベルをクリックすると、発生したイベントの説明が情報ペインに表示されます。

矢印の色は、Endpoint Security によってアクションがブロックされたか許可されたかを示しています。

  • — アクションが脅威として分類され、保護ソフトウェアによってブロックされています。
    • Block
    • BlockTimeout
    • BlockExploit
    • BlockBL
    • Disinfect
    • Delete
    • Quarantine
    • KillProcess
    • IPBlocked
  • — アクションは許可されています。

矢印のスタイル

  • 矢印の数字は、イベントが記録された順序を示しています。矢印のスタイルは、ノード間で実行されたアクションの数と方向を示しています。これには以下が含まれます。

    • 矢印の太さ — 2 つのノード間で同じ種類のアクションが実行された回数を表しています。アクションの数が多いほど、矢印は太くなります。矢印をクリックすると、グループで最初と最後のアクションが発生した日付が情報パネルに表示されます。

    • 矢印の方向 — アクションの方向を示しています。

    既定の表示

    既定では、グラフは水平に表示され、選択されているノードがグラフの中央に表示されます。この周りには、ノードに関連するノードのサブセットが表示されます。

    • グラフには、メイン ノードの上に 3 つのレベルのノードが表示されます。
    • グラフには、メイン ノードの下に 1 つのレベルのノードが表示されます。

    グラフには、同じレベルで最大 25 個のノードが表示されます。ノードが 25 個を超過している場合は、グラフにはノードが表示されません。

    子ノードを表示する

    ノードの左下隅にある M アイコンにより、ノードに非表示の子ノードがあることが示されます。子ノードを表示するには、ノードを右クリックします。開いたメニューで、以下のいずれかのオプションを選択します。

    • 親を表示する — 選択されているノードの親ノードが表示されます。
    • すべてのアクティビティを表示する (数) — 種類に関係なく、すべての子ノードが表示されます。表示できるノードの最大数は 25 個です。親ノードと子ノードをリンクするイベントの総数も表示されます。
    • 子を表示する — ドロップダウン リストが開きます。表示する子ノードの種類を選択して、各種類のノード数を選択します。ノードには、以下のような種類があります。
      • データ ファイル — 不明な情報が含まれているファイル
      • スクリプト ファイル — コマンド シーケンスが含まれているファイル
      • ダウンロード — インターネットまたはネットワークからダウンロードされたデータ ファイル
      • DNS — IP アドレスの解決に失敗したドメイン
      • Windows レジストリ エントリ — Windows で行われたレジストリのエントリ
      • 圧縮ファイル — 圧縮されたデータ ファイル
      • PE ファイル — 実行可能ファイル
      • リモート スレッド — リモート スレッド
      • IP — 通信の両端の IP アドレス
      • ライブラリ — ライブラリ
      • プロセス — プロセス
      • 保護 — ウイルス対策保護によって実行されたアクション

    グラフの複数のノードを選択して右クリックすると、選択したすべてのノードに適用されるオプションのみがメニューに表示されます。

    関連トピック

    調査グラフ ウィンドウ

    グラフ設定の構成