3. アラートの確認

IOC による影響があることが判明したので、ここから調査を行います。

調査エージェントの起動

１．OVERVIEW タブに戻り、View Investigation ボタン をクリックします。

Check

赤色で TRUE POSITIVE と記載があることに注意してください。（すでにエージェントによる調査が行われており、誤検知ではないことが示されています）

２．Geminiチャットボタンが開くので、画面下部の [<] ボタンをクリックし　画面を拡大します。この画面では Gemini の調査エージェントによる調査結果が確認できます。

Tip

ブラウザの翻訳機能を利用して、日本語で応答を確認することもできます。(Chromeブラウザでは 右クリック → T )　※以後の画面キャプチャは日本語に翻訳したものです

３．内容を順番に確認していきます。画面左側の先頭部分では、このアラートの信頼度と、アラートの概要(Alert Summary)が表示されています。

Check

当該ファイルである sft.exe は一時ディレクトリ上にあり、 cmd.exe 経由で実行されたと言及されています

４．続いて「調査概要 Investigation Summary 」が表示されています。

Check

コマンドラインの実行内容によって悪性が高いと判断したと説明があります。また、他の端末(win-server以外)やユーザでは、当該ファイルやコマンドラインは確認されなかったこと、ファイル/レジストリの変更は確認できなかったと言及されています

Check

ハッシュ自体は脅威インテリジェンスでは未検出と言及されています。これは、 VirusTotal 上は未検出のため悪性と評価されていないことを示しています。( アラートの原因であるマンディアントの IoC とは別に扱っています)

５．画面右側の「調査のタイムライン Timeline of Investigation 」を確認します。エージェントが実施した調査について、その意図と実行したクエリ、結果が表示されています。ここで時間をとって、エージェントが行った調査内容を順番に確認してください。

Check

sft.exe を実行した親プロセスについての調査、親プロセスを含めたファイルやレジストリの変更履歴、dan.cooperのログイン、コマンドラインの特徴的な部分を他端末で全文検索するなど、様々な視点で調査しています。

６．最後に、画面左下側の「推奨される追加調査手順 Suggested further investigation steps 」を確認します。追加調査のアドバイスと、調査をすぐ行うためのリンクが用意されているを確認してください。ここでは、この端末にアクセス永続化（パーシステンス）が施されていないかを追加調査します。上から２番目の 検索を実行 リンクをクリックします。

７．この調査のための、新しい検索クエリが実行されます。クエリの内容と実行結果を確認してください。

Check

このクエリは、win-serverの端末上での「sft[*].exe や 親プロセスによるプロセス起動等のログ」を検索しています。検索結果は０件でした。

調査エージェントを利用して、アラートを起点に行った追加調査の内容を確認することができました。また、追加調査のアドバイスをもとに、必要に応じて追加調査を簡単に進めていくことができます。

８．このステップは終了です。 まとめ に移動します。