コンピュータ調査を作成する

適用対象: WatchGuard Advanced EPDR

特定の日付でコンピュータのコンピュータ調査を作成して、発生したイベントの監視の詳細と収集された情報を確認することができます。

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、コンピュータの追加、検出と削除 を行う権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

コンピュータ調査を作成するには、Endpoint Security 管理 UI で以下の手順を実行します。

  1. コンピュータの詳細を開くには、コンピュータ を選択してから、コンピュータを選択します。
    選択されているコンピュータのコンピュータ調査が開きます。
  2. 別のコンピュータのコンピュータ調査を作成するには、調査 ページで、 をクリックします。

    3. Screenshot of Computer Investigation menu option

  3. コンピュータ調査 を選択します。
    コンピュータ調査ページが開きます。

    4. Screenshot of Investigate Computer page

  4. MUID または コンピュータ名 チェックボックスを選択して、テキスト ボックスに一意の識別子または Windows コンピュータ名を入力します。
  5. 開始日 テキスト ボックスで、調査の開始日時を選択します。
  6. 終了日 テキスト ボックスで、調査の終了日時を選択します。

    7. 日付範囲を 2 日より長くすることはできません。最長で 7 日前までの日付を選択することができます。

  7. タイム ゾーン ドロップダウン リストから、タイム ゾーンを選択します。
  8. OK をクリックします。
    コンピュータ調査が作成されます。

コンピュータ調査では、以下を実行することができます。

調査が完了したイベントの詳細がリストに表示されます。

リストの最初の列 (#) には、記録されたイベントの種類を表すアイコンが表示されます。

アイコン イベント
プロセスの作成
実行ファイルの編集
実行可能プログラムの削除
ディレクトリの作成
圧縮ファイルが開かれたイベント
編集された実行可能ファイルを指すレジストリ エントリ
エクスプロイトの検出
ファイルのダウンロード
コンピュータにインタラクティブ セッションがないことに起因する不明なプロセスのブロック
レジストリ操作
スクリプト ファイルの実行
ネットワーク経由で送信されたデータの量
DNS 解決の失敗
WatchGuard エージェントによるユーザー コンピュータへのポップアップ メッセージの表示
コンピュータのインタラクティブ セッションの終了
内部管理イベント
作成ログが記録されていない実行ファイルによる操作の実行
リモート プロセスの作成
実行ファイルの作成
ライブラリの読み込み
実行ファイルの編集
圧縮ファイルの作成
実行可能ファイルを指すレジストリ エントリの作成
リモート プロセス スレッドの作成
未分類のイベント
ネットワーク操作
ドキュメントが開かれたイベント
スクリプト ファイルの作成
脅威の検出
コンピュータのオペレーティング システム設定の変更について SYSMON で記録された Windows Management Instrumentation (WMI) イベント
デバイス制御操作
コンピュータでのインタラクティブ セッションの開始
コンピュータにインストールされている WatchGuard Endpoint Security によって実行されたアクション
コンピュータの再起動
WatchGuard Endpoint Security は、一時的な問題のため、またはセキュリティ ソフトウェアがインストールされる前にファイルが存在したために、作成ログが記録されなかった実行可能ファイルを検出しました。

イベントに含まれている情報の詳細については、Cytomic Orion で受信したイベントのフィールド (外部リンク) を参照してください。

選択した列の値に基づいて項目のグループを作成することができます。

グループを作成するには、以下の手順を実行します。

  • ここにドラッグして行グループを設定する バーに列をドラッグします。

特定のイベントについて収集された詳細なテレメトリと MITRE の情報を表示するには、以下の手順を実行します。

  • イベントを選択します。
  • イベントを右クリックして、以下のいずれかを選択します。
    1. 親ファイルのあるコンピュータを表示する
    2. 子ファイルのあるコンピュータを表示する
    3. 親ファイルの静的情報を表示する
    4. 子ファイルの静的情報を表示する
    5. グラフ
      グラフの詳細については、次を参照してください:調査グラフ ウィンドウ

Screenshot of the Event Details in the Investigation Tab

コンピュータの冗長モードが有効化されている場合のみ、MITRE の詳細を表示することができます。冗長モードの詳細情報については、次を参照してください:冗長モードを構成する

イベント詳細リストの列を変更する

リストの列と列の順序を変更することができます。

リストの列を表示または非表示にするには、以下の手順を実行します。

  1. 調査 ページで、 をクリックします。
    表示または非表示にする列のリストが開きます。

    2. Scrennshot of the Columns screen to change the items in the list

  2. リストにイベント詳細を含めるには、リストに表示する列のチェックボックスを選択します。
    列がリストに表示されます。
  3. イベント詳細を削除するには、列のチェックボックスの選択を解除します。
    リストから列が削除されます。
  4. 列の順序を変更するには、リストのイベント パラメータを上または下にドラッグします。

調査ページでは、色付きのイベント カテゴリのラベル、および特定の日時に調査対象コンピュータに記録されたイベントの総数を表示することができます。

Screenshot of the Information Bar on the Investigation Tab

ラベルをクリックすると、特定のラベルのイベントが表示されるフローティング パネルが開きます。

以下のイベント ラベルを表示することができます。

  • 検出 — ワークステーションまたはサーバーにインストールされているセキュリティ ソフトウェアによって生成された脅威検出イベント。
  • ユーザー通知 — コンピュータのセキュリティに影響が出るため、ユーザーによるアクションが必要となる可能性のあるイベント。
  • 修正操作 — コンピュータのセキュリティ ソフトウェアによるアクションの実行が必要となるイベント。
  • 指標 — 生成された指標。

フィルタ セクションで、結果をフィルタリングして、特定のイベントを検索することができます。

Screenshot of the Filter tab on the Investigation Tab

以下のパラメータを指定して、イベントをフィルタリングおよび検索することができます。

  • コンピュータ — 調査対象のコンピュータの名前または MUID を表示します。
  • MD5 — 調査で分析されたファイルの MD5 を表示します。
  • 日付 — 調査の期間を表示します。テキスト ボックスをクリックすると、カレンダーが表示され、ここで日付間隔を変更することができます。最長期間は 48 時間です。
  • タイム ゾーン — 検索のタイム ゾーンを設定します。定義したタイム ゾーンに基づき、結果が中央ペインに表示されます。

    • 日付範囲を 2 日より長くすることはできません。また、最長で 7 日前までの日付を選択することができます。

  • 結果 — テキスト ボックスに入力した内容で、イベント リストをフィルタリングします。リストのエントリすべての列で検索が実行されます。文字列の一部だけを入力できます。
  • 戦術 — 戦術でフィルタリングするには、戦術名の一部を入力するか、 をクリックします。リストのイベントに関連付けられる戦術のリストが表示されます。
  • 手法/サブテクニック — 手法またはサブテクニックでフィルタリングするには、手法またはサブテクニックの名前の一部を入力するか、 をクリックします。リストのイベントに関連付けられる手法またはサブテクニックのリストが表示されます。
  • 指標の追加 — 指標でフィルタリングするには、指標名の一部を入力するか、 をクリックします。リストのイベントに関連付けられる指標のリストが表示されます。
  • オプション — イベントのタイムラインとプロセス ツリーを有効化または無効化します。
    イベントのタイムラインの詳細については、イベント グラフを表示する を参照してください。
    プロセス ツリーの詳細については、次を参照してください:プロセス ツリー

調査ページで、発生したイベントの数をグラフで時間単位で確認することができます。

Screenshot of the event graph

グラフでは、以下を実行することができます。

  • グラフの上にマウスを置くと、特定の時間に発生したイベントの数が表示されます。
  • バーを左または右にドラッグして、グラフに表示されるアクティビティの間隔を変更することができます。
  • グラフ内の任意の場所をクリックし、マウスをドラッグして、アクティビティを表示する新規ウィンドウを定義します。使用可能なデータの新たな拡大レベルと新たな期間に基づき、グラフが更新されます。

グラフを表示するには、以下の手順を実行します。

  • フィルタ セクションで、タイムライン チェックボックスを選択します。

Screenshot of the timeline setting in Filters section

プロセス ツリーには、コンピュータで実行されたプロセスすべての階層が表示されます。

Screenshot of the process tree

プロセス ツリーを表示するには、以下の手順を実行します。

  • フィルタ セクションで、プロセス ツリー チェックボックスを選択します。

Screenshot of the process tree setting in Filters section

プロセス ツリーでは、以下を実行することができます。

  • プロセスを展開して、サブプロセスを表示します。
  • プロセスを選択して、プロセスに関連付けられるイベントを検索します。
  • ツリー ブランチを折りたたむ、または展開します。
  • プロセス ツリーをフィルタリングします。

関連トピック

高度な SQL クエリ ツールについて

冗長モードを構成する