[アラートのトリアージ] アイコンをクリックして、アラートの発生元および動作の詳細にアクセスできます。

[アラートの発生元:] どのようにして主プロセスがディスクに書き込まれたのかについての情報を含む、アラートの主プロセスがどのようにしてホストに導入されたのかについて記載します。

[重要度に基づくアラートの動作:] 重要度に基づくアラートの動作を説明し、インタラクティブな TTP グラフを表示します。グラフのセグメントは、アラート動作のカテゴリを示しています。カテゴリ ラベルまたはグラフ セグメントをクリックし、重要度別に色分けされたカテゴリの関連 TTP を確認することができます。

[TTP 色の重要度の凡例]

  • [濃い赤:] 重大

  • [明るい赤:]

  • [オレンジ色:]

  • [黄色:]

  • [灰色:] なし

ヒント:

詳細については、「TTP および MITRE 技術」および「TTP リファレンス」を参照してください。

アラート動作のカテゴリ

  • [プロセス操作:] デバイス上で実行中の別のプロセスのメモリを変更および読み取る意図を持った動作。
    • [例:] 別のプロセスのメモリにコードを挿入します。
  • [一般的な嫌疑:]「良好」と認識されるアプリケーションによって共通に示される複数のマルウェア ファミリに一般的な動作。
    • [例:] デバイスの再起動以外に持続することを試み、システム上の実行プロセスを列挙します。
  • [危険な状態のデータ:] エンドポイントのデータの機密性、利用可能性、または完全性を損なう意図を持った動作。
    • [例:] ユーザーの認証情報にアクセスするランサムウェア型の動作または試み。
  • [新たな脅威:] マルウェア以外の攻撃に関連する動作。
    • [例:] PowerShell のようなネイティブ コマンド ライン ユーティリティの悪用およびバッファ オーバーフローなどの関連アクティビティのセキュリティ上の弱点を突く手段。
  • [マルウェアおよびアプリケーションの悪用:] 一般的に「低い」レピュテーションと認識されるファイルに関連付けられた TTP、またはアプリケーションが低いレピュテーションで認識されているファイルを実行。
    注: このカテゴリはシステム アプリケーションのモニタリングについても示しています。ただし、悪意のないアクションである可能性が高いため、これらの TTP には、通常よりも低い優先度が設定されます。
  • [ネットワークの脅威:] このネットワーク上で通信している、または受信接続を待機しているプロセスに関わるすべての TTP が含まれます。