攻撃グラフについて

適用対象：WatchGuard EPDR 本トピックは、WatchGuard EPDR エンドポイント セキュリティ製品に適用されます。、WatchGuard EDR 本トピックは、WatchGuard EDR エンドポイント セキュリティ製品に適用されます。

詳細ページで IOA (Indicators of Attack) にグラフが関連付けられている場合は、攻撃グラフを表示する をクリックすると、IOA 生成をもたらした一連のイベントのインタラクティブな図が表示されます。このグラフを使用して、攻撃の根本原因を特定することができます。

既定では、グラフが水平方向に表示され、IOA をトリガーしたノードがグラフの中央に表示されます。この周りには、IOA に関連するノードのサブセットが表示されます。グラフには、メイン ノードおよびその上と下に 1 つずつ、合計 3 つのノード レベルが表示されます。

ノードは、活動に関与したエンティティ (プロセス、ファイル、通信または操作のターゲットなど) を表しています。矢印は活動を表します。必要に応じてグラフを変更するには、ツールバー オプションを使用して、特定のノードを選択します。グラフの下のタイムラインを使用して、イベント発生時の表示期間を調整することができます。

右側の情報ペインには、選択されたノードまたは矢印のイベント情報が表示されます。詳細については、IOA (Indicators of Attack) イベント を参照してください。

ツールバー

ツールバーを使用して、グラフの外観を変更することができます。ツールバーでは、以下のボタンを使用することができます。

ボタン	名前	説明
	元に戻す	グラフで実行した前回のアクションを元に戻す
	再実行	グラフで実行した前回のアクションをやり直す
	拡大	グラフを拡大する
	縮小	グラフを縮小する
	ズームのリセット	既定のズーム設定に戻す
	横グラフ	グラフの向きを水平に変更する
	縦グラフ	グラフの向きを垂直に変更する
	レイヤの表示/非表示	グラフ内の情報レイヤを表示または非表示にする

攻撃グラフのレイヤを表示または非表示にするには、以下の手順を実行します。

1. ツールバーで、 をクリックします。
2. 開いたメニューから、表示または非表示にするグラフの要素を選択します。
   • 実行シーケンス — イベントの番号を表示または非表示にして、イベントが発生した順序を判断します。
   • 関係の名前 — イベントの名前を表示または非表示にします。詳細については、IOA (Indicators of Attack) イベント を参照してください。
   • エンティティの名前 — エンティティの名前 (プロセス、ファイル、通信または操作のターゲットなど) を表示または非表示にします。

グラフのノードと矢印

グラフには、エンティティとその間の関係を示すノードと矢印で一連のイベントが示されます。IOA をトリガーしたノードがグラフの中央に表示され、IOA に関連するノードのサブセットがその周囲に表示されます。グラフには、メイン ノードの上に 3 つのレベルのノード、およびメイン ノードの下に 1 つのレベルのノードが表示されます。

ノードは、活動に関与したエンティティ (プロセス、ファイル、通信または操作のターゲット) を表しており、矢印は活動を表しています。矢印の数字は、イベントが記録された順序を示しています。ノードを選択すると、発生したイベントの詳細が情報ペインに表示されます。詳細については、IOA (Indicators of Attack) イベント を参照してください。

• グラフで単一のノードを選択するには、ノードをクリックします。
• グラフで連続していない複数のノードを選択するには、Ctrl キーまたは Shift キーを押したまま、選択するノードをクリックします。
• グラフで複数の連続するノードを選択するには、Ctrl キーまたは Shift キーを押したまま、グラフの空の領域をクリックします。マウスをドラッグして、選択するすべてのノードをカバーする選択ボックスを描画します。
  グラフの複数のノードを選択して右クリックすると、選択したすべてのノードに適用されるオプションがショートカット メニューに表示されます。

ノードとステータスのアイコン

ノードの色によって、アイテムがマルウェア (赤)、不審または未分類 (オレンジ)、グッドウェア (緑) のいずれに分類されているかが分かります。これらのノードのアイコンにより、活動における異なるエンティティが区別されます。

アイコン	説明
	プロセスが既知のソフトウェア パッケージに属している場合に、 表示されるアイコン
	リモート スレッド
	ライブラリ
	保護
	フォルダ
	非実行ファイル
	圧縮ファイル
	実行可能ファイル
	スクリプト ファイル
	Windows レジストリ ブランチ値
	通信に使用された URL
	通信の IP アドレス

ステータス アイコンは、ノードで実行されたアクションを示すものです。

アイコン	アクション
	削除されたファイル
	駆除されたファイル
	検疫されたファイル
	削除されたプロセス

子ノードを表示する

グラフには、同じレベルで最大 25 個のノードが表示されます。ノードが 25 個を超過している場合は、グラフにはノードが表示されません。ノードの左下隅にあるアイコンにより、ノードに非表示の子ノードがあることが示されます。

子ノードを表示するには、以下の手順を実行します。

1. ノードを右クリックします。
   ショートカット メニューが開きます。
2. 以下の使用可能なオプションを選択します。
   • 親を表示する — 選択されたノードの親ノードが表示されます。
   • すべてのアクティビティを表示する (数) — 種類に関係なく、ノードのすべての子ノードが表示されます。表示されるノードの最大数は 25 個です。親ノードと子ノードをリンクするイベントの総数が表示されます。
   • 子を表示する — ドロップダウン リストが開きます。表示する子ノードの種類を選択して、各種類のノード数を選択します。ノードには、以下のような種類があります。
     • データ ファイル (不明な情報が含まれているファイル)
     • スクリプト ファイル (コマンド シーケンスが含まれているファイル)
     • DNS (IP の解決に失敗したドメイン)
     • Windows レジストリ エントリ
     • 圧縮ファイル
     • PE ファイル (実行可能ファイル)
     • リモート スレッド
     • IP (通信の両端の IP アドレス)
     • ライブラリ
     • プロセス
     • 保護 (ウイルス対策により実行されたアクション)

ノード を移動および削除する

ノードを移動および削除して、必要な情報についてグラフに集中します。

単一のノードを移動するには、ノードを選択して、それを新しい場所にドラッグします。
ノードおよび隣接ノードと接続されているすべての線が移動し、ノードの新しい場所に合わせて調整されます。

グラフを移動して他のノードを表示するには、以下の手順を実行します。

1. グラフ内の空の領域をクリックします。
2. グラフを適切な方向にドラッグします。

単一のノードを削除するには、以下の手順を実行します。

1. 削除するノードを右クリックします。
   コンテキスト メニューが開きます。
2. 削除 (x) を選択します。
   ダイアログ ボックスが開き、グラフから削除されるノードの総数が表示されます。これには、選択されたノードとその子ノードが含まれます。
3. OK をクリックします。

複数のノードを削除するには、以下の手順を実行します。

1. Ctrl キーを押したままにします。
2. 削除するノードをクリックします。
3. ノードの 1 つを右クリックします。
   ショートカット メニューが開きます。
4. 削除 (x) を選択します。
   ダイアログ ボックスが開き、グラフから削除されるノードの総数が表示されます。これには、選択されたノードとその子ノードが含まれます。
5. OK をクリックします。

矢印

矢印の色により、WatchGuard EPDR または WatchGuard EDR でアクションがブロックされたか、または許可されたかが分かります。

• 赤 — アクションが脅威として分類され、ブロックされています。
• 黒 — アクションは許可されています。

2 つのノード間で同じ種類のアクションが実行された回数により、矢印の太さが異なります。アクションの数が多いほど、矢印は太くなります。

矢印をクリックすると、グループで最初と最後のアクションが発生した日付が情報パネルに表示されます。矢印の方向は、アクションの方向を示しています。

矢印の数字は、イベントが記録された順序を示しています。矢印のラベルをクリックすると、発生したイベントが情報ペインに表示されます。詳細については、IOA (Indicators of Attack) イベント を参照してください。

タイムライン

タイムラインは、グラフの下に表示されています。これには、脅威により実行されたイベントを表す緑色のバーのヒストグラムが含まれています。バーをポイントすると、イベントの数とそれがログ記録された日付のツールチップが表示されます。

タイムライン制御

指定時間範囲外で発生したノードと関係を位置からずらすことができます。タイムラインの下部にある制御機能を使用して、脅威によりアクションが実行された正確な時点にビューを配置し、フォレンジック分析に役立つ拡張情報を取得することができます。

• タイムラインで特定の間隔を選択するには、灰色の間隔セレクタを左または右にドラッグします。グラフには、間隔内に発生したイベントとノードが表示されます。他のイベントとノードは位置から外れます。
• タイムラインのフルパスを表示するには、最初のノード を選択して、開始 をクリックします。
• 移動速度を設定するには、1x をクリックして、速度オプションを選択します。

タイムラインの下で、これらの制御機能を使用することができます。

• 開始 — 1x の一定速度でタイムラインを開始します。タイムラインが進むにつれて、アクションを表すグラフと線が表示されます。
• 1x — タイムラインの速度を設定します。
• 停止 — タイムラインの進行を停止します。
• + と - — タイムラインを拡大および縮小します。
• < と > — 前のノードまたは次のノードを選択します。
• 初期ズーム — + ボタンと – ボタンを使用してズームインまたはズームアウトしている場合に初期ズーム レベルに戻します。
• すべてのノードを選択する — 時間セレクタを動かして、タイムライン全体をカバーします。
• 最初のノード — 時間間隔をタイムラインの開始に設定します。

関連情報：

IOA (Indicators of Attack) の詳細