トリガーオブジェクトと関連オブジェクト間の関係を視覚的に表示します。

[Correlation Graph]は、セキュリティイベントを調査するために使用できるインタラクティブな視覚グラフを提供します。オブジェクトと関係に焦点を当てるために使用できるツールとアクションがいくつかあります。
CorrelationGraph=83317e79-9d78-42fb-af3d-893101ccf139.png
相関グラフ

詳細
説明
使用可能な処理
再生バー
再生バーは、ネットワーク分析レポートに詳細に記載されたイベントと接続の履歴レビューを提供します
再生を制御するには、再生、停止、一時停止をクリックしてください。
時間スライダーを使用して、相関グラフに表示されるイベントを特定の時間枠に制限します。
高度な検索フィルター
高度な検索フィルターは、相関グラフ内で特定のイベントやオブジェクトを見つけるためのカスタマイズを提供します
フィルターアイコン (dddna_graph_filter=GUID-1A803C70-BBB6-4F2B-BF16-6B5CFFFAC409=1=ja-jp=Low.png) をクリックして、高度な検索フィルターを適用します。詳細については、相関グラフの詳細検索フィルタ を参照してください。
相関線
相関線は、ネットワーク分析レポートによって検出された内部ホスト、IoC、およびその他のオブジェクト間の関係を示します
  • 各相関ラインは2台のホスト間の1つ以上のトランザクションを表しています。
  • ラインの太さは、ホスト間で発生したトランザクションの数に比例します。
  • 相関ラインは、内部ホストと外部サーバ間、または2台の内部ホスト間 (内部活動) で形成されます。
  • 各相関線には、ホスト間のトランザクションで使用されるプロトコルのラベルが付いています。相関線内の矢印は、トランザクションの方向を示しており、送信元から宛先へ向かいます。
    メール送信者に関する相関線には、[不審なメールアクティビティ]というラベルが付いています。
相関線をクリックして、トランザクションとIoCで提供される詳細をフィルタリングします
内部ホスト
ネットワーク内にある内部ホストは、エンドポイントやその他のネットワークデバイスです
グラフは、内部ホストをインターネットプロトコル (IPアドレス) およびホスト名とユーザが判明している場合に識別します。
関連情報を示すアイコンが内部ホストの横に表示されることがあります。例えば、内部ホストが優先サーバリストまたは信頼されたサービスソースリストにある場合、グラフには適切なアイコンが表示されます。詳細については、ネットワークリソースリストを参照してください。
ホストに対して実行できる追加のアクションのリストを表示するには、アクションアイコン (dddna_graph_icon_plus=GUID-674BF3B2-46AB-4463-AEB9-658F8598E69D=2=ja-jp=Low.png) にカーソルを合わせてください。
  • [クリップボードにコピー]: 値をクリップボードにコピーします。
外部サーバ
外部サーバは、IPアドレス、ドメイン、およびネットワーク分析によって検出されたその他の関連オブジェクトです
外部サーバはIPアドレスによって識別されます。判明している場合、そのドメイン名も表示されます。
メール送信者はメールアドレスで識別され、常に [外部サーバ] 側の上部に表示されます。
外部ホストに関連する他の情報が表示される場合もあります。
ホストに対して実行できる追加のアクションのリストを表示するには、アクションアイコン (dddna_graph_icon_plus=GUID-674BF3B2-46AB-4463-AEB9-658F8598E69D=2=ja-jp=Low.png) にカーソルを合わせてください。
  • [クリップボードにコピー]: 値をクリップボードにコピーします。
  • Threat Connect: このオブジェクトのクエリを使用して、新しいブラウザタブでTrend Micro Threat Connectを開きます。
  • DomainTools (WHOIS): このIPアドレスまたはドメインのクエリでDomainToolsを新しいブラウザタブで開きます。
  • VirusTotal: このオブジェクトのクエリでVirusTotalを新しいブラウザタブで開きます。
アクティビティ凡例
アクティビティ凡例は、グラフ内の内部ホストおよび外部サーバ参加者の主要なアクティビティを識別します。
  • 活動は個々の相関グラフによって異なります。
  • 以下のような活動が含まれる可能性があります: ブルートフォース認証、C&Cコールバック、データ流出、内部活動、悪意のある転送、その他の悪意のある活動、および脆弱性の悪用。
-
参加者アイコン
参加者アイコンは、各内部ホストまたは外部サーバが参加した活動を示すのに役立ちます
対応する活動列のアイコンの表示を確認することで、内部ホストや外部サーバが関与した活動を判別できます。
内部ホストや外部サーバにカーソルを合わせると、関与している活動が青色で強調表示されます。