相関グラフを使用した分析

手順

• メイン画面で最初の分析を実行します。

  [相関グラフ] の要素
  関連イベントのタイムラインを表示するには、再生バーをクリックします。 Deep Discovery Director - Network Analyticsでは、最も古い相関イベントから最新の相関イベントまで描画されます。 選択した期間の相関イベントを表示するには、タイムラインスライダを使用します。グラフには、選択した期間内の相関関係のみが表示されます。 期間を調整するには、タイムラインの左側および右側にあるグラブバーをクリックして、目的の位置にドラッグします。 グラフに表示される相関 (および結果として得られるトランザクションの詳細) は、選択した期間に見つかったイベントデータに応じて異なります。
  フィルタアイコン ( ) を [再生バー] して、詳細検索フィルタを表示または非表示にします。 詳細検索フィルタを使用して、カスタマイズされた検索を作成および適用します。 詳細については、相関グラフの詳細検索フィルタ 。
  相関線 各相関グラフには、送信元と送信先の不正または不審な活動を相互に関連付ける、1つ以上の相関ラインが含まれます。 各相関ラインは2台のホスト間の1つ以上のトランザクションを表しています。 ラインの太さは、ホスト間で発生したトランザクションの数に比例します。 相関ラインは、内部ホストと外部サーバ間、または2台の内部ホスト間 (内部活動) で形成されます。 各相関線には、ホスト間のトランザクションで使用されるプロトコルのラベルが付けられています。相関線内の矢印は、トランザクションの送信元から送信先への方向を示します。 メール送信者が関係する相関線には、 [不審なメールアクティビティ]というラベルが付けられます。
  内部ホスト 内部ホストはIPアドレスによって識別されます。判明している場合、そのホスト名とログオンユーザも表示されます。 関連情報を表すアイコンが内部ホストの横に表示される場合があります。たとえば、内部ホストが優先監視リストまたは登録済みサービスリストに含まれている場合、グラフには該当するアイコンが表示されます。 注意 優先監視リストには、イベント追跡およびインシデントレポートの優先度が高いと考えられる環境内のサーバが含まれます。 登録済みサービスリストには、組織内で使用されている、または信頼できると見なされる特定のサービスの専用サーバが含まれます。 下向きの三角形のアイコン ( ) には、各内部ホストおよび外部サーバの横にあり、そのホストに対して実行できる追加の処理のリストが表示されます。 [クリップボードにコピー]: 値をクリップボードにコピーします。
  外部サーバ 外部サーバはIPアドレスによって識別されます。判明している場合、そのドメイン名も表示されます。 メール送信者はメールアドレスで識別され、常に [外部サーバ] 側の上部に表示されます。 外部ホストに関連する他の情報が表示される場合もあります。 下向きの三角形のアイコン ( ) をクリックすると、そのホストに対して実行できる追加の処理のリストが表示されます。 [クリップボードにコピー]: 値をクリップボードにコピーします。 脅威の接続: 開くトレンドマイクロ Threat Connectブラウザの新しいタブに、このオブジェクトのクエリを表示します。 [DomainTools (WHOIS)]: [DomainTools] を新しいブラウザタブで開き、このIPアドレスまたはドメインのクエリを表示します。 [VirusTotal]: [VirusTotal] をブラウザの新しいタブで開き、このオブジェクトのクエリを表示します。
  アクティビティの凡例 グラフに表示される内部ホストや外部サーバの主な活動を識別します。 活動は個々の相関グラフによって異なります。 次のような流出が内部活動れます。 一部のアクティビティは、 Deep Discovery Director ログのReasonに対応しています。
  参加者アイコン 対応する活動列のアイコンの表示を確認することで、内部ホストや外部サーバが関与した活動を判別できます。 内部ホストや外部サーバにカーソルを合わせると、関与している活動が青色で強調表示されます。