IBM Support

QRadar EDR (旧 ReaQta): Behavioral tree について

Question & Answer


Question

 Behavioral tree はダッシュボード上のどこで参照できるのでしょうか? また、Behavioral tree の詳細を教えてください。

Answer

この技術情報では、ダッシュボード上の Behavioral tree の詳細についてご案内します。

Behavioral tree とは?

Behavioral tree ウィジェットは、関連プロセスが実行した不審なアクション(悪意のあるアクティビティ)をグラフィカルに可視化して表示します。

Behavioral tree を確認する方法

  • ダッシュボード上の次の場所で確認することができます。
    Alerts ページ > 該当のアラートを選択 > Analyze alert をクリック > Behavioral tree
    image-20230530155939-1

Behavioral tree のコンポーネント

Behavioral tree は、以下のコンポーネントで構成されています。

<形状について>
円形:
上部にプロセスを実行するユーザーアカウント名、中央にプロセス ID、下部にプロセス名でプロセスを表現しています。
image-20230530163753-3

該当のプロセスをクリックすると、プロセスの詳細を確認することができます。
  • Digital Signature validity - 緑色(有効)、オレンジ色(期限切れ)、灰色(存在しない)。
  • Size - 実行ファイルのサイズ。
  • Privilege Level - プロセスで使用される特権レベル。
  • User - プロセスを実行したユーザー名。
  • Hash - 実行ファイルのハッシュ値 ( SHA256 )。
  • Signer - 署名者 (証明書に署名者が存在する場合)。
  • Cmd Line - プロセスによって実行されたコマンドライン。
image-20230530162450-1 
プロセスが悪意のあるアクティビティを行った場合、色の付いたプロセス(円形)が表示されます。色は、検出された動作の重大度レベルを示しています。(詳細は下記にある「色について」をご参照ください。)
  • 塗りつぶし線 - 親プロセスと子プロセスを結びます。
  • 点線 - プロセスとキー・イベントを結びます。
  • 六角形 - プロセスによって実行される主要なキー・イベントを種類別にグループ化して表します。グループ化は以下の方法で行われます。
            ・General イベント・タイプ
            ・MITRE イベント・タイプ
            ・ReaQta-Hive NanoOS 独自の検知

image-20230530164645-1
            
補足:六角形の右上に赤丸で数字が表示されている場合、その数字は同じ種類のイベントの数を示しています。六角形をクリックし、左下にある右/左矢印を使用してイベントの詳細を確認することができます。
            
アクション・ボタン:
プロセスやイベントの詳細表示では、いくつかのアクションが可能です。アクション内容は、要素の種類と原点によって異なります。
デフォルトで以下のアクション・ボタンを使用できます。
  • ピン留めマークをクリックし、プロセスやイベントの詳細を表示した状態をキープできます。
  • 特定のプロセスに応じて、Allowlist ポリシーを作成できます。
  • 特定のプロセスに応じて、Blocklist ポリシーを作成できます。
  • 関連のある実行ファイルをダウンロードできます。
  • 特定のアクションに対して Threat hunt を実行できます。
  • 六角形内の複数の項目(詳細)を確認できます。
  • 六角形の MITRE イベントのみ、技術定義とマッピングされたイベントの詳細を見ることができます。
重要:ポリシーの作成は、リアルタイムな動作の分析中にエージェントが検出した悪意のあるプロセスのトリガーとなったプロセスに対してのみ使用できます。
image-20230530165454-3
image-20230530165923-1
 
<色について>
  • 灰色 - プロセスがアラートのトリガーに直接関わっていません。
  • 青色 - 青い円は、プロセスが悪意のあるアクティビティを実行しており、アラートのトリガーに直接関わっていることを示します。
  • 赤色 - 重大度が「 High 」であることを示します。
  • オレンジ色 - 重大度が「 Medium 」であることを示します。
  • 黄色 - 重大度が「 Low 」であることを示します。
  • 緑色 - 動作が安全なことを示します。
例:悪意のあるアクティビティで深刻度が「 Low 」の場合
image-20230530170416-2
補足:円に黄色の半円が含まれている場合、そのプロセスが重複しているノードであることを示し、該当のプロセス・ツリーでプロセス ID の番号を参照し、ID が一致するものを確認する必要があります。
<Export As>
画面の内容を PNG 形式でファイルに書き出すことができます。
<操作可能なアイコンについて> 
  • Behavioral tree を専用ウィジェットで開くことができます。
  • 現在の画面に合わせて、Behavioral tree の全体が収まるように自動的にズームインすることができます。
  • ズームアウトするためのオプションになります。
  • ズームインするためのオプションになります。
image-20230531170355-1
   

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSAAA2","label":"Administrative Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Product Synonym

ReaQta

Document Information

Modified date:
08 June 2023

UID

ibm17001249

Page Feedback