履歴調査では、指定した条件に基づいて、履歴イベントと分析チェーンが診断されます。調査結果は、不審アクティビティの実行フローを示すRoot Cause Analysisマップの形式で表示されます。これにより、組織全体を巻き込んだ、標的型攻撃のイベントチェーンを分析できます。
履歴調査では、次の種類のオブジェクトが使用されます。
-
DNSレコード
-
IPアドレス
-
ファイル名
-
ファイルパス
-
SHA-1ハッシュ値
-
MD5ハッシュ値
-
ユーザアカウント
履歴調査では、エンドポイントの履歴イベントが格納された、標準化されたデータベースに対してクエリを実行します。この方法は、従来のログファイルに比べて使用するディスク容量が少なく、リソースの消費量も少なくなります。