ビュー:
[影響を受けたホスト] - [検出の詳細] 画面の [接続の詳細] セクションには、次の情報が含まれます。
[Threat Connectで表示] をクリックすると、Threat Connectに接続して脅威に関する現在の情報を検索できます。
[ダウンロード] をクリックしてから [接続の詳細] を選択すると、接続の詳細をCSVファイルでダウンロードできます。
[ダウンロード] をクリックしてから [感染ファイル] を選択すると、感染ファイルを含むパスワード保護されたZIPアーカイブをダウンロードできます。
パケットキャプチャが有効で、検出がパケットキャプチャルールに一致した場合、[ダウンロード] をクリックしてから [PCAPファイル] を選択すると、PCAPファイルを含むパスワード保護されたZIPアーカイブをダウンロードできます。PCAPファイルの「pkt_comment」フィールドにあるコメント「Detected Packet」は、検出の原因となったパケットを示しています。
packet-capture-comme.jpg
検出されるパケット例
パケットキャプチャの詳細については、パケットキャプチャを参照してください。
[ダウンロード] をクリックしてから [すべて] を選択すると、感染ファイル、パケットキャプチャファイル、および接続の詳細を含むパスワード保護されたZIPアーカイブをダウンロードできます。
重要
重要
不審ファイルおよびPCAPファイルは常に注意して扱う必要があります。感染ファイルおよびPCAPファイルはお客さまの責任で抽出してください。ファイルは隔離された環境で分析することをお勧めします。
zipアーカイブのパスワードは「virus」です。

[影響を受けたホスト] - [検出の詳細] - [検出情報]

[検出情報] セクションには、次の情報が表示されます。
  • 検出されたアクティビティ
  • 攻撃段階
  • 相関分析ルールID (ICID)
  • 検出名
  • 検出ルールID
    ヒント
    ヒント
    検出ルールの番号をクリックすると、そのルールの詳細を脅威データベースで参照できます。
  • 検出の重大度
  • 検出の種類
  • イベントクラス
  • MITRE ATT&CK™ Framework
    • Tactics
    • Techniques
    ヒント
    ヒント
    TacticsまたはTechniquesをクリックすると、MITREのWebサイトで詳細情報を確認できます。
    © ATT&CK™は、MITRE Corporationの商標です。
  • 顕著なオブジェクト
  • プロトコル
  • 参照
  • 標的型攻撃
  • 前回の検出
  • 脅威
  • 脅威の詳細
  • タイムスタンプ
  • URLカテゴリ
  • 仮想アナライザのリスクレベル
注意
注意
特定の相関関係のあるインシデントの追加情報が表示される場合もあります。

検出の種類

検出の種類
説明
相関関係のあるインシデント
連続して発生した、またはしきい値に達したアクティビティのパターンを定義するイベント/検出
要注意アプリケーション
次の理由により要注意と見なされるピアツーピア、インスタントメッセンジャー、およびストリーミングメディアアプリケーション
  • ネットワークパフォーマンスに影響する
  • セキュリティリスクを発生させる
  • 従業員の注意を散漫にさせる
セキュリティホール悪用
情報に対するネットワークおよびファイルベースのアクセス試行
グレーウェア
さまざまな種類および信頼度レベルのアドウェア/グレーウェアの検出
不正な動作
すでに不正であることが明確なため詳細な相関分析が不要な動作には次のものがあります。
  • 明確に識別された不正プログラムによる通信
  • 既知の不正な接続先
  • 不正な動作パターンや文字列
不正なコンテンツ
シグネチャによる検出
不正なURL
不正な処理を実行しようとするWebサイト
不審動作
危険な可能性があり、相関分析を確認する必要がある動作には次のものがあります。
  • 異常な動作
  • 擬似データ
  • 不審な動作、不正な動作パターンや文字列

[影響を受けたホスト] - [検出の詳細] - [接続の概要]

[接続の概要] セクションには、次の情報が表示されます。
  • イベントの方向やその他の情報を含むグラフィカル表示。図の [クライアント] は接続を開始したホストを表します。
  • ホストの詳細には、次の情報が含まれます。
    • ホスト名
    • IPアドレスとポート
    • 前回のログオンユーザ
    • MACアドレス
    • ネットワークグループ
    • ネットワークゾーン
    • OS

[影響を受けたホスト] - [検出の詳細] - [プロトコル情報]

[プロトコル情報] セクションには、次の情報が表示されます。
  • ボットのコマンド
  • ボットのURL
  • 証明書の情報
    • 発行先
      • 一般名
      • 組織
      • 組織単位
    • 発行者
      • 一般名
      • 組織
      • 組織単位
  • ドメイン名
  • ホスト名
  • HTTPリファラ
  • ICMPコード
  • ICMPタイプ
  • IRCチャネル名
  • IRCニックネーム
  • メッセージID
  • プロトコル
  • クエリ対象ドメイン
  • 受信者
  • 送信者
  • SNIホスト名
  • 件名
  • ターゲット共有
  • Transport Layer Security (TLS)
  • URL
  • ユーザエージェント
  • ユーザ名

[影響を受けたホスト] - [検出の詳細] - [ファイル情報]

[ファイル情報] セクションには、次の情報が表示されます。
  • ファイル名
  • SHA-1
  • SHA-256
  • ファイルサイズ

[影響を受けたホスト] - [検出の詳細] - [追加情報]

[追加情報] セクションには、次の情報が表示されます。
  • 接続の中断の試行
  • 検出元
  • Mitigation
  • フィンガープリント
    • JA3ハッシュ値
    • JA3Sハッシュ値
  • VLAN ID