攻撃の指標の詳細

適用対象: WatchGuard Advanced EPDRWatchGuard EDRWatchGuard EDR

IOA の詳細ページを開くには、攻撃の指標 (IOA)リストで、コンピュータの行をクリックします。

Screen shot of WatchGuard Endpoint Security, Indicators of Attack list

詳細ページでは、IOA の説明と推奨アクションの説明を確認することができます。また、IOA をアーカイブすることもできます。IOA をアーカイブする方法については、攻撃の指標をアーカイブする を参照してください。

Screen shot of WatchGuard Endpoint Security, Details page

ページの通知セクションには、以下の情報を確認することができます。

  • 検出日 — WatchGuard Endpoint Security によりワークステーションまたはサーバーで IOA が検出された日時
  • 攻撃の指標 — IOA の名前
  • リスク — 攻撃の指標 (重大、高い、中程度、低、不明) のリスク レベル
  • 説明 — コンピュータで検出された一連のイベントの説明および攻撃の目的が達成された場合に発生し得る結果
    • 影響を受けたコンピュータで使用された戦術とテクニックの説明を表示するには、攻撃調査の詳細 をクリックします。新しいタブでレポートが開きます。レポートは、IOA の生成後 1 ヵ月間使用することができます。レポートには、IOA 検出前の 30 日間における攻撃の一部であるイベントも表示されます。

    • IOA にグラフが関連付けられている場合は、攻撃のグラフを表示 をクリックすると、IOA 生成の要因となった一連のイベントが含まれているインタラクティブな図が表示されます。詳細については、攻撃グラフについて を参照してください。

  • アクション — Endpoint Security によって実行されるアクションの種類。
  • 推奨 — 管理者を対象とした WatchGuard セキュリティ チームの推奨アクション

IOA の詳細セクションで、IOA が発生した日時と場所の詳細な説明および IOA につながったイベントのパターンの詳細を表示することができます。

攻撃の指標の詳細セクション

ページの攻撃の指標の詳細セクションには、影響を受けるコンピュータ、検出された発生数、前回のイベントの日付が表示されます。コンピュータの詳細ページを開くには、コンピュータ名をクリックします。

Screen shot of WatchGuard Endpoint Security, Indicators of Attack details

その他の詳細テキスト ボックスには、JSON 形式のデータが表示されます。これには、IOA 生成の要因となったイベントに関連するフィールドが含まれています。

MITRE セクション

ページの MITRE セクションには、MITRE ATT&CK マトリックスにマッピングされた攻撃の詳細が表示されます。

Screen shot of WatchGuard Endpoint Security, Mitre details

各攻撃について、以下の詳細を表示できます。

  • 戦術 — IOA 生成の要因となった攻撃戦術のカテゴリ (MITRE マトリックスにマッピング)。戦術をクリックすると、戦術に関する詳細な MITRE 情報が表示された新しいウィンドウが開きます。
  • 手法 / サブテクニック — IOA を生成し、MITRE マトリックスにマッピングされた (たとえば T1012 - クエリ レジストリ) 攻撃手法のカテゴリとサブカテゴリ (該当する場合)。テクニックをクリックすると、テクニックに関する詳細な MITRE 情報が表示された新しいウィンドウが開きます。
  • プラットフォーム — 以前に MITRE によりこの種類の攻撃が記録されたオペレーティング システムと環境。
  • 権限が必要です — 攻撃を実行するために必要な許可。
  • 説明 — 検出された IOA で使用された戦術とテクニックの詳細 (MITRE マトリックスに準拠)。

アクティビティ タブ (Advanced EPDR のみ)

詳細な攻撃の指標は、Windows コンピュータとのみ互換性があります。

WatchGuard Advanced EPDR を搭載している Endpoint の IOA の詳細ページには、詳細タブとアクティビティ タブが含まれています。詳細タブの情報については、前述のセクションに説明があります。

アクティビティ タブでは、アクティビティが検出された時期、MITRE 手法など、IOA に関して検出されたアクションを確認することができます。

  • 日付 — いつ Advanced EPDR がアクションを検出したか。
  • アクション — Advanced EPDR が検出したアクション。
  • 手法 / サブテクニック — MITRE 手法 (および該当する場合はサブテクニック)。MITRE ID と名前がラベルに表示されます (たとえば、T1012 - クエリ レジストリ)。サブテクニックは、戦術の目的を達成するために敵対者が使用するプロセスやメカニズムを指します。たとえば、パスワード スプレーは、認証情報アクセス戦術の目的を達成するためのブルートフォース攻撃の一種です。

表内の行をクリックすると、イベント詳細 ダイアログ ボックス内に詳細情報 (イベントの種類、親、子の情報など) が表示されます。MITRE タブでは、詳細な MITRE 情報 (戦術、手法、サブテクニック、説明など) を確認できます。

関連トピック

攻撃の指標 (IOA)

攻撃の指標を保留中としてマーク付けする

攻撃の指標をアーカイブする