Retro Scanは、指定された検索条件に基づいて、過去のイベントとそのアクティビティチェーンを調査します。調査結果は、疑わしいアクティビティの実行フローを示すマインドマップの形式で表示されます。これにより、組織全体を巻き込んだ、標的型攻撃のイベントチェーンを分析できます。
Retro Scanの調査では、次の種類のオブジェクトが使用されます。
-
DNSレコード
-
IPアドレス
-
ファイル名
-
ファイルパス
-
SHA-1ハッシュ値
-
MD5ハッシュ値
-
ユーザアカウント
Retro Scanは、エンドポイントのイベント履歴が格納された、標準化されたデータベースに対してクエリを実行します。この方法は、従来のログファイルに比べて使用するディスク容量が少なく、リソースを消費しません。