攻撃の指標の詳細

適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。

IOA の詳細ページを開くには、攻撃の指標 (IOA)リストで、コンピュータの行をクリックします。

Screen shot of WatchGuard Endpoint Security, Indicators of Attack list

詳細ページでは、IOA の説明と推奨アクションの説明を確認することができます。また、IOA をアーカイブすることもできます。IOA をアーカイブする方法については、次を参照してください:攻撃の指標をアーカイブする

Screen shot of WatchGuard Endpoint Security, Details page

ページの通知セクションには、以下の情報を確認することができます。

  • 検出日 — WatchGuard Endpoint Security によりワークステーションまたはサーバーで IOA が検出された日時 ユーザーのタイム ゾーンで表示されます。
  • 攻撃の指標 — IOA の名前
  • リスク — 攻撃の指標 (重大、高い、中程度、低、不明) のリスク レベル
  • 説明 — コンピュータで検出された一連のイベントの説明および攻撃の目的が達成された場合に発生し得る結果
    • 影響を受けたコンピュータで使用された戦術と手法の説明を表示するには、攻撃調査の詳細 をクリックします。新しいタブでレポートが開きます。レポートは、IOA の生成後 1 ヵ月間使用することができます。レポートには、IOA 検出前の 30 日間における攻撃の一部であるイベントも表示されます。

    • IOA にグラフが関連付けられている場合は、攻撃のグラフを表示 をクリックすると、IOA の生成につながった一連のイベントが含まれているインタラクティブな図が表示されます。詳細については、次を参照してください:攻撃グラフについて

  • アクション — Endpoint Security によって実行されるアクションの種類。
  • 推奨 — 管理者を対象とした WatchGuard セキュリティ チームの推奨アクション。

攻撃の指標の詳細セクション

攻撃の指標の詳細セクションには、影響を受けたコンピュータ、検出された発生数、最新のイベントの日時が表示されます。詳細タブと調査タブがあるのは、Advanced EPDR のみです。コンピュータの詳細ページを開くには、コンピュータ名をクリックします。

Screen shot of WatchGuard Endpoint Security, Indicators of Attack details

詳細ページからアクティビティ ページを開くには、アクティビティの詳細の表示 をクリックします。アクティビティ ページの詳細については、次を参照してください:アクティビティ タブ

詳細ページから調査ページを開くには、コンピュータの調査の表示 または 調査 タブをクリックします。調査ページの詳細については、次を参照してください:調査ページのコンピュータのテレメトリ

Screen shot of WatchGuard Endpoint Security, Indicators of Attack details for AEPDR

その他の詳細テキスト ボックスには、JSON 形式のデータが表示されます。これには、IOA の生成につながったイベントに関連するフィールドが含まれています。

MITRE セクション

ページの MITRE セクションには、MITRE ATT&CK マトリックスにマッピングされた攻撃の詳細が表示されます。

Screen shot of WatchGuard Endpoint Security, Mitre details

各攻撃について、以下の詳細を表示できます。

  • 戦術 — IOA の生成につながった攻撃戦術のカテゴリ (MITRE マトリックスにマッピング)。戦術をクリックすると、戦術に関する詳細な MITRE 情報が表示された新しいウィンドウが開きます。
  • 手法 / サブテクニック — IOA を生成し、MITRE マトリックスにマッピングされた (たとえば T1012 - クエリ レジストリ) 攻撃手法のカテゴリとサブカテゴリ (該当する場合)。テクニックをクリックすると、テクニックに関する詳細な MITRE 情報が表示された新しいウィンドウが開きます。
  • プラットフォーム — 以前に MITRE によってこの種類の攻撃が記録された際のオペレーティング システムと環境。
  • 権限が必要です — 攻撃を実行するために必要な許可。
  • 説明 — 検出された IOA で使用された戦術と手法の詳細 (MITRE マトリックスに準拠)。

アクティビティ タブ

詳細な攻撃の指標は、Windows、Linux、Mac コンピュータと互換性があります。

WatchGuard Advanced EPDR を搭載している Endpoint の IOA の詳細ページには、詳細、アクティビティ、調査タブが含まれています。詳細ページの情報は、前のセクションに記載されています。調査ページの詳細については、次を参照してください:調査ページのコンピュータのテレメトリ

アクティビティ ページでは、アクティビティが検出された時期や MITRE 手法など、IOA に関して検出されたアクションを確認することができます。

  • 日付 — いつ Advanced EPDR がアクションを検出したか。ユーザーのタイム ゾーンで表示されます。
  • アクション — Advanced EPDR が検出したアクション。
  • 手法 / サブテクニック — MITRE 手法 (および該当する場合はサブテクニック)。MITRE ID と名前がラベルに表示されます (たとえば、T1012 - クエリ レジストリ)。サブテクニックは、戦術の目的を達成するために敵対者が使用するプロセスやメカニズムを指します。たとえば、パスワード スプレーは、認証情報アクセス戦術の目的を達成するためのブルートフォース攻撃の一種です。

表内の行をクリックすると、イベント詳細ダイアログ ボックスに詳細情報 (イベントの種類、親、子の情報など) が表示されます。MITRE タブでは、詳細な MITRE 情報 (戦術、手法、サブテクニック、説明など) を確認できます。

関連トピック

攻撃の指標 (IOA)

攻撃の指標を保留中としてマーク付けする

攻撃の指標をアーカイブする