分析チェーン

[分析チェーン] タブには、Root Cause Analysisが表示されるほか、調査に役立つ可能性のあるその他の情報も表示されます。

脅威の調査では、Endpoint Sensor、Cloud App Security、Active Directoryからの情報を関連付け、ネットワーク全体のエンドポイント、ユーザアカウント、潜在的なメール攻撃元に関する攻撃情報を表示できます。

注:

メールの情報を関連付けできるようにする前に、Cloud App SecurityとApex Centralを適切に設定する必要があります。

詳細については、クラウドサービスを設定するを参照してください。

情報

説明

対象エンドポイント

調査されたエンドポイントの詳細情報が表示されます。

エンドポイント名およびユーザ名をクリックして、詳細を表示します。

エンドポイントをネットワークから切断するには、[エンドポイントの隔離] をクリックします。隔離されている間、エージェントが通信できるのはサーバのみです。

注:

隔離したエンドポイントでセキュリティの脅威を解決すると、[ディレクトリ] > [ユーザ/エンドポイント] 画面の次の場所に、隔離したエンドポイントのネットワーク接続を復元するオプションが表示されます。

  • [エンドポイント] > [すべて]: 表内のエンドポイント名をクリックし、表示された画面で [タスク] > [復元] の順にクリックします。

  • [エンドポイント] > [フィルタ] > [ネットワーク接続] > [隔離済み]: 表内のエンドポイントの行を選択し、[タスク] > [ネットワーク接続の復元] の順にクリックします。

最初に確認されたオブジェクト

調査対象オブジェクトの作成に関与したとみられる分析チェーン内の最初のオブジェクトです。

多くの場合、これは標的型攻撃の開始地点です。

オブジェクトにカーソルを合わせてをクリックして、分析チェーン内のオブジェクトを特定します。

一致したオブジェクト

調査条件に一致するオブジェクトまたはオブジェクトのリストが表示されます。

Root Cause Analysisでオブジェクトを特定するには、オブジェクトにマウスを重ねて、 をクリックします。

注意が必要なオブジェクト

既存のトレンドマイクロインテリジェンスに基づき、不正オブジェクトの可能性があるチェーン内のオブジェクトを強調表示します。

値は、チェーン内にある一意の注意が必要なオブジェクトの数を表します。

クリックすると、注意が必要なオブジェクトのリストが表示されます。

オブジェクトにカーソルを合わせてをクリックして、分析チェーン内のオブジェクトを特定します。

Root Cause Analysis領域

イベントに関するオブジェクトの視覚的分析が表示されます。

注:

分析チェーン内のノード数が表示できる上限を超える場合は、主要な分析チェーンのみが表示されます。この問題を回避するには、調査条件を絞り込みます。

使用可能なノードをクリックして、選択したオブジェクトの詳細情報を表示します。

分析チェーンを解釈する方法の詳細については、以下を参照してください。

注:

データをエクスポートするには、 をクリックし、次のいずれかを実行します。

  • すべてのRoot Cause Analysisレポートを.pngファイルとしてエクスポートするには、[分析チェーン] を選択します。

  • すべてのデータをCSVファイルとしてエクスポートするには、[オブジェクトの詳細] を選択します。