サイバーキルチェーンでインシデントを調査する方法

サイバーキルチェーンにおける攻撃の個別のステップを調査できます。サイバーキルチェーンの分かりやすい文章とグラフを活用して、攻撃の各ステップを把握し、調査時間を短縮できます。

サイバーキルチェーンで調査を開始するには

1. Cyber Protectコンソールで、[保護] > [インシデント] に進みます。

2. 表示されたインシデントのリストで、調査するインシデントの最右列のをクリックします。選択したインシデントのサイバーキルチェーンが表示されます。

   

3. ページ上部の脅威ステータスバーで、インシデントの概要を確認できます。脅威ステータスバーには、以下の情報が表示されます。
   • 現在の脅威ステータス:脅威ステータスは、システムによって自動的に定義されます。軽減操作が適用されていないインシデントは、できるだけ早く調査する必要があります。
     バックアップからの復元が正常に完了した場合、またはすべての検出項目がプロセスの停止、隔離、またはロールバック操作によって正常に修復された場合、インシデントは軽減済みに設定されます。
     
     バックアップからの復元が正常に完了しなかった場合、または少なくとも1件の検出項目でプロセスの停止、隔離、またはロールバック操作による正常な修復が実行できなかった場合、インシデントは軽減されていないに設定されます。
     
     また、脅威ステータスを手動で軽減済みまたは軽減されていないに設定することもできます。いずれかのステータスを選択すると、コメントを入力するよう促されます。このコメントは調査アクティビティの一部として保存され、[アクティビティ] タブで見ることができます。インシデントで新たに何かが検出された場合、または対応操作が実行され正常に完了した場合、EDRにより脅威ステータスが、軽減済みまたは軽減されていないに戻されます。
   • インシデントの重大度:重大、高、中。詳細については、インシデントを確認するを参照してください。
   • 現在の調査ステータス:調査中、未開始（デフォルト）、偽陽性、閉鎖済みのいずれか。インシデントの調査を開始した時点でステータスを変更し、他のユーザーがインシデントの変更を認識できるようにする必要があります。
   • 陽性レベル:インシデントが実際の悪意ある攻撃である可能性を1～10の範囲で示します。詳細については、インシデントを確認するを参照してください。
   • インシデントタイプ: [検ランサムウェアが検出されました]、[マルウェアが検出されました]、[不審なプロセスが検出されました]、[悪意のあるプロセスが検出されました]、[不審なURLがブロックされました]、[悪意のあるURLがブロックされました] の1つ以上。

   • ワークロードでMDR（Managed Detection and Response）が有効になっている場合、MDRチケットフィールドが表示されます。インシデントに対して作成されたMDRチケットの詳細と、インシデントに割り当てられたMDRセキュリティアナリストを表示できます。

     

   • インシデントが作成およびアップデートされた時期:インシデントが検出された日時、またはインシデント内に記録された新しい検出によりインシデントが最後にアップデートされた日時です。

     

4. キルチェーングラフを構成するさまざまなノードを表示するには、[凡例] タブをクリックし、表示するノードを定義します。詳細については、サイバーキルチェーンビューの理解とカスタマイズを参照してください。
5. 以下の手順を実行して、インシデントを調査し、修正します。これは、インシデントの調査および修復の典型的なワークフローですが、各インシデントや各環境の独自要件によって異なる場合があります。ご注意ください。
   1. [攻撃ステージ] タブで各ステージを調査します。詳細については、インシデントの攻撃ステージを調査するを参照してください。

   2. [インシデント全体を修復] して、修正処理を適用します。詳細については、インシデント全体を修復するを参照してください。

      また、サイバーキルチェーン内の個別ノードを修復することもできます（個別のサイバーキルチェーンノードに対する対応操作を参照）。

   3. [アクティビティ] タブでインシデントを軽減するために行った操作を確認します。詳細については、インシデントを軽減するために実行される操作を理解するを参照してください。

サイバーキルチェーンビューの理解とカスタマイズ

サイバーキルチェーンで影響が及ぶノードを把握するには、凡例にアクセスします。凡例には、インシデントに関連するすべてのノードが表示され、各ノードが攻撃者からどのような影響を受けたかを把握できます。またサイバーキルチェーンで、非表示にしたいノードと表示したいノードを定義できます。

凡例にアクセスするには

1. 凡例セクションの右側にある矢印アイコンをクリックします。

   下図のように [凡例] セクションが展開されます。

   

2. 凡例では主に4つの色が使われており、以下のようにサイバーキルチェーンの各ノードで発生した事象をすばやく把握できます。これらの色分けされたノードは、攻撃ステージにも含まれます（インシデントの攻撃ステージを調査するを参照）。

   

サイバーキルチェーンでノードを非表示/表示にするには

1. 拡張された凡例セクションで、サイバーキルチェーンに表示したいノードの横にが表示されていることを確認します。表示されているアイコンがの場合、アイコンをクリックしてに変更します。
2. サイバーキルチェーンでノードを非表示にするには、をクリックします。アイコンがに変わり、サイバーキルチェーンにノードが表示されなくなります。