search cancel

インシデントの Process Lineage が表示されない

book

Article ID: 238119

calendar_today

Updated On:

Products

Endpoint Detection and Response

Issue/Introduction

インシデントが作成されたが [Process Lineage] (プロセス系列) タブが空である。

Cause

いくつかの理由が考えられます。

  • エンドポイントで SONAR が無効になっているか、または障害が発生している(SONAR の管理 を参照)
  • SEP が Advanced Attack Techniques (AAT。高度な攻撃手法) イベントを転送するように設定されていない。
  • EDR データベース内に、インシデントに関連する process launch イベントがない。
  • インシデントに関連するイベントを Endpoint Activity Recorder (EAR) からコンパイルするのに十分な時間が経過していない。小規模な環境では、リアルタイムの EAR イベント転送でさえ、プロセス系列をフォーマットするのに 20 分かかることがあります。
  • 別のオープンされているインシデントが系列形成の妨げになっている。イベントは、Target Attack Analytics (TAA) インシデントの場合は最大 7 日間、AAT インシデントの場合は最大 8 時間、オープンされているインシデントに添付できることに注意してください。

Environment

リリース:4.x

コンポーネント:Endpoint Activity Recorder

Resolution

  1. エンドポイントで SONAR が無効または障害が発生しているかどうかを確認するには、SONAR の管理 を参照してください。
  2. SEP が AAT イベントを転送するか [匿名のデータをシマンテック社に送信して詳細な脅威防止インテリジェンスを受け取る] が有効化されているかを確認します。高度な攻撃手法 (AAT) イベント検出の有効化EDR に advanced analytics events が表示されない を参照してください。
  3. 関連するイベントを特定するには、EDR コンソールで 4100/8001 プロセス起動イベントを検索し、正しいインシデントが作成されたことを確認します。
  4. 4100 または 8001 イベントがプロセス系統のないインシデントで見つからない場合、エンドポイントアクティビティレコーダーの設定がプロセス開始イベントをキャプチャするように設定されているか、エンドポイントのデータベースサイズが設定した送信間隔に対して十分な大きさであることを確認します。Endpoint Activity Recorder の設定 を参照してください。
  5. 8001 イベントが見つからない場合、Endpoint Activity Recorder (EAR) Recorder RulesRecorder Exceptions が 8001 プロセス起動イベントを妨げていないことを確認します。
  6. EAR からインシデントに関連するイベントをコンパイルするのに十分な時間が経過していない。小規模な環境では、リアルタイムの EAR イベント転送でさえ、プロセス系列をフォーマットするのに 20 分かかることがあることに注意してください。EAR の設定にある送信頻度を確認します。
  7. 別のオープンインシデントが系列形成の妨げになっていないか確認します。イベントは、TAA インシデントの場合は最大 7 日間、AAT インシデントの場合は最大 8 時間、オープンのインシデントに添付することができることに注意してください。未解決のインシデントを把握するためのベストプラクティスについては、Symantec EDR でインシデントを作成して優先度を設定する方法 を参照してください。

未解決のインシデントがある場合は、8 時間待ってから Broadcom サポートに連絡して、詳しいアドバイスやトラブルシューティングを依頼してください。

Additional Information

[英語文書] SEDR Incidents do not show process lineage