Insight-Based Execution Profileを使用すると、同じ根本原因を指し示す可能性のある個別のアラートではなく、影響を受けたエンドポイント全体のオブジェクトとイベントに、より広い視点から焦点を当てることができます。
Insight-Based Execution Profileでは、関連するアラートを関連付けてグループ化することで、複数の分析チェーン上のオブジェクトとイベントを視覚化し、対話型の調査を容易にします。
次の表では、Insightベースの実行プロファイルを構成するさまざまな要素について説明します。
|
要素
|
説明
|
|||
|
左パネル
|
Observed Attack Techniquesパネル
|
環境で検出された個々のイベントと関連するMITRE情報を表示します。
[イベントを表示] をクリックすると、 [Observed Attack Techniques] アプリでイベントの詳細をさらに確認できます。
|
||
|
[エンドポイント] パネル
|
インサイトの関連するアラートから、影響を受けるエンドポイントと注目すべきオブジェクトを一覧表示します。
|
|||
|
グラフセクション
|
チェーンビュー
|
インタラクティブな調査のためにオブジェクトとイベントを視覚化する複数の分析チェーンを集約します。
任意のノードをクリックすると、詳細なプロファイルが表示され、オブジェクトの関連イベントを確認できます。最初の分析チェーンには、最も重要なイベントがベースラインとして表示され、必要に応じてチェーンにイベントを追加できます。
|
||
|
タイムライン表示
|
インサイトに関連付けられたイベントが時系列で表示されます。
初期設定では、インサイトで最初に監視されたイベントのみが強調表示されます。右矢印 (
 ) をクリックして、攻撃を段階的に進めます。 |
|||
|
右側のパネル
|
プロフィールタブ
|
選択したオブジェクトに該当する詳細が表示されます。
|
||
|
イベントタブ
|
選択したオブジェクトによって実行された処理を表示します。
各処理を展開してイベントに関連するオブジェクトを確認し、チェーンビューで動的に表示するか非表示にするかを選択できます。
|
|||
|
ソースタブ
|
選択したオブジェクトの原点が表示されます。これは、チェーンビューには表示されない追加情報です。
|
|||
