調査グラフ ウィンドウ

適用対象: WatchGuard Advanced EPDR

調査グラフ ウィンドウに、詳細なイベント テレメトリをグラフ形式で表示することができます。これにより、データをより簡単に分析することが可能となります。調査グラフ ウィンドウには、イベントがノードと矢印で示され、エンティティとその間の関係が表示されます。グラフに表示される情報は、高度な SQL クエリで示されるデータと同等です。

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、コンピュータの追加、検出と削除 を行う権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

調査グラフ ウィンドウを開くには、Endpoint Security 管理 UI で以下の手順を実行します。

  1. コンピュータの詳細を開くには、コンピュータ を選択してから、コンピュータを選択します。
  2. 調査 ページで、 をクリックします。

    Screenshot of graphs menu option

  3. グラフ を選択します。
    使用可能なグラフ テンプレートが含まれた状態で、新規グラフィカル調査ダイアログ ボックスが開きます。

    Screenshot of investigation graph templates

  4. プロセス ツリー テンプレートを選択します。
    新しいグラフのプロパティが開きます。

    Screenshot of properties of the new notebook for process tree template

  5. 新規ノートブックのプロパティを指定します。
    • muid — 調査する各コンピュータの一意の識別子を入力します。
    • date_event — 調査対象イベントが発生した日付を入力します。グラフには、指定されている日付の前日から翌日までのイベントが表示されます。
    • parentmd5 — 親プロセスの MD5 ハッシュ コードを入力します。
    • parentpid — プログラムの特定の実行インスタンスの親プロセス ID を入力します。これは、グラフに開始ノードとして表示されます。
  6. OK をクリックします。
    調査グラフ ウィンドウが開きます。

    Screenshot of the graph structure

調査グラフ ウィンドウについて

調査グラフ ウィンドウは、以下の領域に分かれています。

  • グラフ — エンティティとその間の関係を示すノードと矢印で一連のイベントが示されます。矢印の数字は、イベントが記録された順序を示しています。
  • 情報パネル — ウィンドウの右側の情報パネルには、選択されているノードまたはラインに関する情報が表示されます。
  • グラフ ツール バー — ウィンドウの左側にあるツール バーを使用することで、グラフの外観を変更すること、変更の取り消しややり直しを行うこと、ノードを検索またはフィルタリングすることができます。詳細については、次を参照してください:グラフ設定の構成
  • タイムライン — グラフの下にあるタイムラインには、ヒストグラムが表示されます。これには、脅威によって実行されたイベントを表す緑色のバーが含まれています。表示されているイベントが発生した間隔のサイズを拡大または縮小して、イベントをより明確に確認することができます。また、タイムラインを非表示にすること、表示すること、リセットすることも可能です。タイム ラインの使用方法の詳細情報については、次を参照してください:タイムラインを表示する

グラフ設定の構成方法については、次を参照してください:グラフ設定の構成

エンティティとその間の関係に関する情報を示す色、パネル、および他のグラフ機能の詳細については、次を参照してください:調査グラフのノードと矢印について

関連トピック

コンピュータ調査を作成する

高度な SQL クエリ ツールについて