Ansichten:

Sehen Sie eine visuelle Darstellung der Beziehungen zwischen dem Auslöserobjekt und den zugehörigen Objekten.

Der Correlation Graph bietet ein interaktives visuelles Diagramm, mit dem Sie Sicherheitsereignisse untersuchen können. Es gibt mehrere Werkzeuge und Aktionen, die Sie verwenden können, um sich auf Objekte und Beziehungen zu konzentrieren.
CorrelationGraph=83317e79-9d78-42fb-af3d-893101ccf139.png
Korrelationsdiagramm

Details
Beschreibung
Verfügbare Aktionen
Wiedergabeleiste
Die Wiedergabeleiste bietet eine historische Übersicht der im Netzwerk-Analysebericht aufgeführten Ereignisse und Verbindungen
Klicken Sie auf Wiedergabe, Pause oder Stopp, um die Wiedergabe zu steuern.
Verwenden Sie die Zeitschieberegler, um die im Korrelationsdiagramm angezeigten Ereignisse auf den spezifischen Zeitraum zu beschränken.
Erweiterter Suchfilter
Erweiterte Suchfilter bieten Anpassungsmöglichkeiten, um spezifische Ereignisse oder Objekte im Korrelationsdiagramm zu finden
Klicken Sie auf das Filtersymbol (dddna_graph_filter=GUID-1A803C70-BBB6-4F2B-BF16-6B5CFFFAC409=1=de-de=Low.png), um einen erweiterten Suchfilter anzuwenden. Weitere Informationen finden Sie unter Erweiterter Suchfilter für Korrelationsdiagramm.
Korrelationslinie
Korrelationslinien zeigen die Beziehungen zwischen internen Hosts, IoCs und anderen Objekten, die im Netzwerk-Analysebericht erkannt wurden
  • Jede Korrelationslinie repräsentiert eine oder mehrere Transaktionen zwischen zwei Hosts.
  • Die Dicke der Linie ist proportional zur Anzahl der Transaktionen zwischen den Hosts.
  • Korrelationslinien können zwischen einem internen Host und einem externen Server oder zwischen zwei internen Hosts (laterale Bewegung) bestehen.
  • Jede Korrelationslinie hat ein Etikett mit den Protokollen, die in Transaktionen zwischen den Hosts verwendet werden. Ein Pfeil innerhalb der Korrelationslinie zeigt die Richtung der Transaktionen an, von der Quelle zum Ziel.
    Korrelationslinien, die E-Mail-Absender betreffen, haben das Label Suspicious Email Activity.
Klicken Sie auf eine Korrelationslinie, um die in Transaktionen und IOCs bereitgestellten Details zu filtern
Interne Hosts
Interne Hosts sind Endpunkte und andere Netzwerkgeräte, die sich innerhalb Ihres Netzwerks befinden
Das Diagramm identifiziert interne Hosts anhand der Internetprotokolladresse (IP-Adresse) sowie des Host-Namens und des Benutzers, falls bekannt.
Symbole, die relevante Informationen darstellen, können neben einem internen Host erscheinen. Wenn der interne Host beispielsweise auf der Prioritätsserverliste oder auf einer Liste vertrauenswürdiger Dienstquellen steht, zeigt das Diagramm das entsprechende Symbol an. Für weitere Informationen siehe Netzwerkressourcenlisten.
Fahren Sie mit der Maus über das Aktionssymbol (dddna_graph_icon_plus=GUID-674BF3B2-46AB-4463-AEB9-658F8598E69D=2=de-de=Low.png), um eine Liste zusätzlicher Aktionen anzuzeigen, die Sie für diesen Host ausführen können.
  • Copy to clipboard: Kopieren Sie den Wert in Ihre Zwischenablage.
Externe Server
Externe Server sind IP-Adressen, Domains und andere verwandte Objekte, die von der Netzwerk-Analyse erkannt werden
Externe Server werden durch die IP-Adresse identifiziert; der Domänenname wird ebenfalls angegeben, wenn bekannt.
E-Mail-Absender werden durch die E-Mail-Adresse identifiziert und immer oben auf der External Servers-Seite angezeigt.
Weitere relevante Informationen könnten für externe Hosts angezeigt werden.
Fahren Sie mit der Maus über das Aktionssymbol (dddna_graph_icon_plus=GUID-674BF3B2-46AB-4463-AEB9-658F8598E69D=2=de-de=Low.png), um eine Liste zusätzlicher Aktionen anzuzeigen, die Sie für diesen Host ausführen können.
  • Copy to clipboard: Kopieren Sie den Wert in Ihre Zwischenablage.
  • Threat Connect: Öffnen Sie Threat Connect von Trend Micro in einem neuen Browser-Tab mit einer Abfrage für dieses Objekt.
  • DomainTools (WHOIS): Öffnen Sie DomainTools in einem neuen Browser-Tab mit einer Abfrage für diese IP-Adresse oder Domain.
  • VirusTotal: Öffnen Sie VirusTotal in einem neuen Browser-Tab mit einer Abfrage für dieses Objekt.
Aktivitätslegende
Die Aktivitätslegende identifiziert die wichtigsten Aktivitäten für die internen Host- und externen Serverteilnehmer im Diagramm.
  • Aktivitäten variieren für jedes spezifische Korrelationsdiagramm.
  • Kann Aktivitäten umfassen, die den folgenden ähneln: Brute-Force-Authentifizierung, C&C-Callback, Datenexfiltration, laterale Bewegung, bösartiger Transfer, andere bösartige Aktivitäten und Sicherheitslückenausnutzung.
-
Teilnehmer-Symbole
Teilnehmer-Symbole helfen dabei, anzuzeigen, an welchen Aktivitäten jeder interne Host oder externe Server teilgenommen hat
Sie können die Aktivitäten ermitteln, an denen jeder interne Host oder externe Server teilgenommen hat, indem Sie das Vorhandensein eines Symbols in der entsprechenden Aktivitätsspalte überprüfen.
Fahren Sie mit der Maus über einen internen Host oder externen Server, um die Aktivitäten, an denen sie teilnehmen, blau hervorgehoben zu sehen.
Zugehörige Informationen