[相関グラフ] を使用した分析

ビュー:

[相関グラフ] には、Deep Discovery Directorで選択したトリガイベントとその他の関連イベントとの相関関係が時間の経過に従って表示されます。

メイン画面で最初の分析を実行します。

[相関グラフ] の要素
図 1. 再生バー/タイムスライダ再生バーをクリックすると、相関イベントのタイムラインが表示されます。Deep Discovery Director - Network Analyticsにより、最も古い相関イベントから最新の相関までが連続して描画されます。タイムラインのスライダを使用して、選択した期間の相関イベントを表示します。このグラフには、選択した期間の相関のみが表示されます。期間を調整するには、タイムラインの左側および右側にあるグラブバーをクリックして、目的の位置にドラッグします。期間全体を移動するには、現在の期間の内側をクリックして、左方向または右方向にドラッグします。グラフに表示される相関 (および結果として得られるトランザクションの詳細) は、選択した期間に見つかったイベントデータに応じて異なります。
再生バーの横にあるフィルタアイコン () をクリックして、詳細検索フィルタの表示/非表示を切り替えます。詳細検索フィルタを使用して、カスタマイズされた検索を作成および適用します。詳細については、[相関グラフ] の詳細検索フィルタを参照してください。
相関ライン各相関グラフには、送信元と送信先の不正または不審な活動を相互に関連付ける、1つ以上の相関ラインが含まれます。各相関ラインは2台のホスト間の1つ以上のトランザクションを表しています。ラインの太さは、ホスト間で発生したトランザクションの数に比例します。相関ラインは、内部ホストと外部サーバ間、または2台の内部ホスト間 (内部活動) で形成されます。各相関ラインには、ホスト間のトランザクションに使用されたプロトコルがラベル付けされています。相関ライン内の矢印は、送信元から送信先へのトランザクションの方向を示しています。メール送信者が関係する相関ラインは、[不審なメール活動] としてラベル付けされています。
内部ホスト内部ホストはIPアドレスによって識別されます。判明している場合、そのホスト名とログオンユーザも表示されます。関連情報を示すアイコンが内部ホストの横に表示される場合があります。たとえば、内部ホストが優先ウォッチリストまたは登録済みサービスリストに含まれている場合、それを示すアイコンがグラフに表示されます。内部ホストや外部サーバの横にある下向きの三角アイコン () の上にマウスカーソルを合わせると、そのホストに対して実行できる追加処理のリストが表示されます。クリップボードにコピー: クリップボードに値をコピーします。ネットワーク検出イベントの表示: このオブジェクトに一致するフィルタが適用された新しいブラウザタブで [ネットワーク検出] 画面を開きます。 Deep Discovery Directorは、優先ウォッチリストに含まれるホスト、およびトリガイベントの注目すべきIPを持つホストのエンドポイント分析レポートを取得しようとします。レポートが存在する場合、アイコンが内部ホストの下に表示されます。[エンドポイント分析レポート] アイコン () をクリックすると、Apex Centralにより提供されるレポートが表示されます。注: 相関グラフで [エンドポイント分析レポート] アイコンを利用できるようにするには、Deep Discovery DirectorをApex Centralと統合する必要があります。詳細については、Apex Centralを設定するを参照してください。
外部サーバ外部サーバはIPアドレスによって識別されます。判明している場合、そのドメイン名も表示されます。メール送信者はメールアドレスによって識別され、常に外部サーバ側の上部に表示されます。外部ホストに関連する他の情報が表示される場合もあります。外部サーバの横にある下向きの三角アイコン () の上にマウスカーソルを合わせると、そのホストに対して実行できる追加処理のリストが表示されます。クリップボードにコピー: クリップボードに値をコピーします。ネットワーク検出イベントの表示: このオブジェクトに一致するフィルタが適用された新しいブラウザタブで [ネットワーク検出] 画面を開きます。 Threat Connect: このオブジェクトに対するクエリが含まれた新しいブラウザタブで [Trend Micro Threat Connect] を開きます。 DomainTools (WHOIS): IPアドレスまたはドメインに対するクエリが含まれた新しいブラウザタブで [DomainTools] を開きます。 VirusTotal: このオブジェクトに対するクエリが含まれた新しいブラウザタブで [VirusTotal] を開きます。
特殊なアイコン相関グラフの要素についての情報を提供する追加アイコンです。優先ウォッチリストアイコン: エンドポイント分析レポートアイコン: Deep Discovery Directorは、優先ウォッチリストに含まれるホスト、およびトリガイベントの注目すべきIPを持つホストのエンドポイント分析レポートを取得しようとします。レポートが存在する場合、アイコンが内部ホストの下に表示されます。 Deep Discovery Director (統合モード) は、Apex Oneと統合されたApex Centralからレポートを取得します。Apex OneにはEndpoint Sensor機能があります。レポートの取得にはいくつかのステータスがあります。
凡例相関グラフで使用されるアイコンやラインのリストを次に示します。注目すべきホストの相関ラインの色グラフ内のホストの優先ウォッチリストへの登録有無 (優先ウォッチリストアイコン) グラフ内のホストのサービス登録状況 (サービス名のアイコン) 図 2. 凡例
注目すべきホストこの相関イベントの焦点を表します。相互処理は一般に内部ホストと外部サーバ間で行われ、送信元と送信先を結びつける黄色の線で識別されます。注: Deep Discovery Directorで不審オブジェクトの検出を選択しても、[注目すべきホスト] の相関は通常生成されません。
活動の凡例グラフに表示される内部ホストや外部サーバの主な活動を識別します。活動は個々の相関グラフによって異なります。ブルートフォース攻撃、C&Cコールバック、情報送出、内部活動、不正転送、その他の不正活動、脆弱性の悪用などに類似する活動が含まれる可能性があります。一部の活動はDeep Discovery Inspectorのログの「検出の種類」に対応します。
関与状況アイコン対応する活動列のアイコンの表示を確認することで、内部ホストや外部サーバが関与した活動を判別できます。内部ホストや外部サーバにカーソルを合わせると、関与している活動が青色で強調表示されます。

[相関グラフ] の要素

図 1. 再生バー/タイムスライダ

再生バーをクリックすると、相関イベントのタイムラインが表示されます。Deep Discovery Director - Network Analyticsにより、最も古い相関イベントから最新の相関までが連続して描画されます。

タイムラインのスライダを使用して、選択した期間の相関イベントを表示します。このグラフには、選択した期間の相関のみが表示されます。

期間を調整するには、タイムラインの左側および右側にあるグラブバーをクリックして、目的の位置にドラッグします。
期間全体を移動するには、現在の期間の内側をクリックして、左方向または右方向にドラッグします。
グラフに表示される相関 (および結果として得られるトランザクションの詳細) は、選択した期間に見つかったイベントデータに応じて異なります。

再生バーの横にあるフィルタアイコン () をクリックして、詳細検索フィルタの表示/非表示を切り替えます。

詳細検索フィルタを使用して、カスタマイズされた検索を作成および適用します。

詳細については、[相関グラフ] の詳細検索フィルタを参照してください。

相関ライン

各相関グラフには、送信元と送信先の不正または不審な活動を相互に関連付ける、1つ以上の相関ラインが含まれます。

各相関ラインは2台のホスト間の1つ以上のトランザクションを表しています。
ラインの太さは、ホスト間で発生したトランザクションの数に比例します。
相関ラインは、内部ホストと外部サーバ間、または2台の内部ホスト間 (内部活動) で形成されます。
各相関ラインには、ホスト間のトランザクションに使用されたプロトコルがラベル付けされています。相関ライン内の矢印は、送信元から送信先へのトランザクションの方向を示しています。

メール送信者が関係する相関ラインは、[不審なメール活動] としてラベル付けされています。

内部ホスト

内部ホストはIPアドレスによって識別されます。判明している場合、そのホスト名とログオンユーザも表示されます。

関連情報を示すアイコンが内部ホストの横に表示される場合があります。たとえば、内部ホストが優先ウォッチリストまたは登録済みサービスリストに含まれている場合、それを示すアイコンがグラフに表示されます。
内部ホストや外部サーバの横にある下向きの三角アイコン () の上にマウスカーソルを合わせると、そのホストに対して実行できる追加処理のリストが表示されます。
- クリップボードにコピー: クリップボードに値をコピーします。
- ネットワーク検出イベントの表示: このオブジェクトに一致するフィルタが適用された新しいブラウザタブで [ネットワーク検出] 画面を開きます。
Deep Discovery Directorは、優先ウォッチリストに含まれるホスト、およびトリガイベントの注目すべきIPを持つホストのエンドポイント分析レポートを取得しようとします。レポートが存在する場合、アイコンが内部ホストの下に表示されます。[エンドポイント分析レポート] アイコン () をクリックすると、Apex Centralにより提供されるレポートが表示されます。
注:
- 相関グラフで [エンドポイント分析レポート] アイコンを利用できるようにするには、Deep Discovery DirectorをApex Centralと統合する必要があります。
  
  詳細については、Apex Centralを設定するを参照してください。

外部サーバ

外部サーバはIPアドレスによって識別されます。判明している場合、そのドメイン名も表示されます。

メール送信者はメールアドレスによって識別され、常に外部サーバ側の上部に表示されます。

外部ホストに関連する他の情報が表示される場合もあります。
外部サーバの横にある下向きの三角アイコン () の上にマウスカーソルを合わせると、そのホストに対して実行できる追加処理のリストが表示されます。
- クリップボードにコピー: クリップボードに値をコピーします。
- ネットワーク検出イベントの表示: このオブジェクトに一致するフィルタが適用された新しいブラウザタブで [ネットワーク検出] 画面を開きます。
- Threat Connect: このオブジェクトに対するクエリが含まれた新しいブラウザタブで [Trend Micro Threat Connect] を開きます。
- DomainTools (WHOIS): IPアドレスまたはドメインに対するクエリが含まれた新しいブラウザタブで [DomainTools] を開きます。
- VirusTotal: このオブジェクトに対するクエリが含まれた新しいブラウザタブで [VirusTotal] を開きます。

特殊なアイコン

相関グラフの要素についての情報を提供する追加アイコンです。

優先ウォッチリストアイコン:
エンドポイント分析レポートアイコン:

Deep Discovery Directorは、優先ウォッチリストに含まれるホスト、およびトリガイベントの注目すべきIPを持つホストのエンドポイント分析レポートを取得しようとします。レポートが存在する場合、アイコンが内部ホストの下に表示されます。

Deep Discovery Director (統合モード) は、Apex Oneと統合されたApex Centralからレポートを取得します。Apex OneにはEndpoint Sensor機能があります。

レポートの取得にはいくつかのステータスがあります。

凡例

相関グラフで使用されるアイコンやラインのリストを次に示します。

注目すべきホストの相関ラインの色
グラフ内のホストの優先ウォッチリストへの登録有無 (優先ウォッチリストアイコン)
グラフ内のホストのサービス登録状況 (サービス名のアイコン)

図 2. 凡例

注目すべきホスト

この相関イベントの焦点を表します。

相互処理は一般に内部ホストと外部サーバ間で行われ、送信元と送信先を結びつける黄色の線で識別されます。

注:

Deep Discovery Directorで不審オブジェクトの検出を選択しても、[注目すべきホスト] の相関は通常生成されません。

活動の凡例

グラフに表示される内部ホストや外部サーバの主な活動を識別します。

活動は個々の相関グラフによって異なります。
ブルートフォース攻撃、C&Cコールバック、情報送出、内部活動、不正転送、その他の不正活動、脆弱性の悪用などに類似する活動が含まれる可能性があります。
一部の活動はDeep Discovery Inspectorのログの「検出の種類」に対応します。

関与状況アイコン

対応する活動列のアイコンの表示を確認することで、内部ホストや外部サーバが関与した活動を判別できます。

内部ホストや外部サーバにカーソルを合わせると、関与している活動が青色で強調表示されます。