コンテンツにスキップ

3. ログの調査

IOC に関連するログの有無を調査します。(今回は Gemini を利用せず直接クエリを入力します)

ログの有無の調査

1.画面左上のメニューバーから Investigation > SIEM search をクリックして、SIEMに移動します。

image-20251130210357101

2.クエリウィンドウに 下記を入力 します。

hash = "a1abc3d11c16ae83b9a7cf62ebe6d144dfc5e19b579a99bad062a9d31cf30bfe"

image-20251130210529007

Check

クエリウィンドウの入力補完機能を試してください。"h"のみ入力すると hash 以外の入力候補も確認できます

3.検索期間を「直近1ヵ月」で指定します。 期間指定枠 をクリックし、 LAST MONTH を選択した後、APPLY をクリックします。

image-20251130210700204

4.Run Search ボタンをクリックして、検索を実行します。

image-20251130210903128

5.15 件程度のログが確認できました。また、アラートも検出されています。まず概要を確認するため Overview タグ をクリックして、Gemini の要約を確認してください。

image-20251130211137596

6.Windows 端末のプロセス起動ログにおいて、この IOC に関連するものがあったようです。内容を確認した後、 Alerts タブ をクリックしてください。 

image-20251130211501714

Check

このIOCで発見したログは、cmd.exe や sft.exe というファイル名、win-server といったホスト名、dan.cooper とユーザが関係しているようです。

7.Alerts タブでは、SecOps の検知ルールによって検出したアラートが確認できます。

一番上にあるアラートの行 を選択して Alert Viewer 画面を開き、View details ボタン をクリックします。

image-20251130214709620

8.アラートの詳細画面が表示されます。リスクスコア:95、重大度:クリティカルとして扱われています。内容を確認して、GRAPH タブ をクリックしてください。

image-20251130215312043

Info

このアラートは、 マンディアント脅威インテリジェンスの IOC と合致したため検出されています。(先ほどの IOC Match でも通常は確認できますが、シナリオ上非表示になっています)

9.GRAPH タブでは各アラートや各エンティティ(端末やユーザ)の関係が表示されます。簡単に内容を確認してください。

image-20251130220724573

10.次のステップ に移動します