ログのオプション

Cloud App Securityには、検索の実行後にログデータを保存したり表示したりするためのオプションが用意されています。

次の図と表は、[検索] バーで使用可能なオプションについて説明しています。

図 1. ログのオプション
表 1. ログのオプションの説明

オプション

説明

ログデータをレポートとして保存し、後で確認できます。
CSVファイルとしてエクスポートしたログデータは、スプレッドシートで表示したり、別の製品にインポートしたりできます。

  • [現在の表示] を選択すると、現在の表示のすべてのログレコードがエクスポートされます。

  • [すべてのレコード] を選択すると、選択した種類のすべてのログレコードがエクスポートされます。一度にエクスポートできるレコードの最大数は10,000です。

レポートとして保存する前にブラウザでログデータのプレビューを表示します。

ログデータをグラフまたは表形式で表示します。

次の図は、ログデータを並べ替える方法について説明しています。

図 2. ログデータの並べ替えオプション

次のいずれかの方法でログデータを降順または昇順に並べ替えます。

  • 列のタイトルをクリックします。

  • 列のタイトルの右側にある下矢印をクリックして、[昇順に並べ替え] または [降順に並べ替え] をクリックします。

注:

[仮想アナライザ] ログの [概要レポート][セキュリティリスク検索] ログの [セキュリティリスク名]、および [ランサムウェア] ログの [ランサムウェア名] など並べ替えがサポートされない列もあります。

現在の並べ替えをキャンセルするには、別の列のタイトルをクリックしてログデータを並べ替えるか、タイトルの右側にある下矢印をクリックして [並べ替えの解除] をクリックします。

列を非表示にするには、そのタイトルの右側にある下矢印をクリックして [列の非表示] をクリックします。

非表示にした列を表示するには、別の列のタイトルをクリックします。

次の図は、影響を受けたユーザに関連して実行されたポリシーまたは隔離された項目の表示方法を示しています。

図 3. ポリシーと隔離オプションへのリンク

ログの詳細領域の [影響を受けたユーザ] で、ログ項目のアカウント名をクリックします。[隔離] 画面が開き、影響を受けたユーザに関連して隔離された項目が表示されます。

ログの詳細領域の [実行されたポリシー] で、ログ項目のポリシー名をクリックします。ポリシーに対応するポリシー設定画面が表示されます。

次の図は、メールメッセージがBECの攻撃として検出された場合のBECレポートの表示方法を示しています。

図 4. BECレポートオプション

  1. [種類] ドロップダウンリストから [セキュリティリスク検索] を選択し、[検索元] ログファセットで [Exchange Online] または [Gmail] を選択します。

  2. ログの詳細領域の [セキュリティリスク名] で、BECスパムカテゴリの項目をクリックします。BECレポートが表示され、メールメッセージがBECの攻撃を引き起こす可能性があると判定された理由が表示されます。

注:
メールメッセージがCloud App Security によって、複数のスパムカテゴリで分類されることがあります。この場合は次のように表示されます。

  • スパムカテゴリはそれぞれのカテゴリに設定された処理の優先順位順にリストされます。

  • スパムカテゴリに設定された処理の優先順位が同じだった場合には、Trend Micro Antispam Engineによって判定された、検出対象がユーザに与える影響の順位によってリストされます。

次の図は、機械学習型検索の各検出の包括的レポートの表示方法について説明しています。

図 5. [機械学習型検索ログの詳細] オプション

  1. [種類] ドロップダウンリストから [セキュリティリスク検索] を選択し、[検出方法] ログファセットで [機械学習型検索] を選択します。

  2. ログの詳細領域の [検出方法] で、[機械学習型検索] リンクをクリックします。

    [機械学習型検索ログの詳細] 画面に、次の2つのセクションが表示されます。

    • 上部のバナー: 検出に関連する具体的な情報

    • 下部のタブコントロール: 脅威の可能性スコア、推定される脅威の種類、およびファイル情報など、機械学習型検索の脅威に関連する情報

表 2. ログの詳細 - 上部のバナー

セクション

説明

検出名

機械学習型検索の検出の名前を示します。

検出時刻/処理

検出の発生時刻と実行された処理を示します。

ファイル名

検出の対象となったファイルの名前を示します。

注:

[除外リストに追加] をクリックすると、影響を受けたファイルのSHA-1ハッシュ値をグローバルの [機械学習型検索の除外リスト] に追加できます。

除外リスト全体は、[運用管理] > [グローバル設定] > [機械学習型検索の除外リスト] から確認できます。

影響を受けたユーザ

Exchange OnlineおよびGmailの場合: 検出の対象となったメールメッセージを受信または送信した、保護対象のユーザのメールボックスを表示します。

SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブの場合: 検出の対象となったファイルをアップロードまたは変更したユーザアカウントを表示します。

Salesforceの場合: ポリシー違反のオブジェクトレコードを更新したユーザアカウントを表示します。

Teamsチャットの場合: ポリシー違反のプライベートチャットメッセージを送信したユーザを表示します。
表 3. ログの詳細 - タブ情報

タブ

説明

脅威の指標

機械学習型検索の分析の結果を示します。

  • 脅威である可能性: 対象ファイルが不正プログラムモデルにどの程度類似しているかを示します。

  • 推定される脅威の種類: 機械学習型検索で分析を他の既知の脅威と比較して、対象ファイルに含まれる、最も近いと推定される脅威の種類を示します。

  • 類似する既知の脅威: 検出されたファイルに類似した特性を示す、既知の脅威の種類を一覧表示します。

ファイルの詳細

この検出ログのファイルプロパティに関する一般的な情報を示します。

(Exchange Onlineのみ) 次の図は、隔離されたメールメッセージを [ログ] 画面から管理する方法について説明しています。

図 6. 隔離項目の管理オプション

  1. [種類] ドロップダウンリストから [セキュリティリスク検索] を選択し、[検索元] ログファセットで [Exchange Online] を選択し、[処理] ログファセットで [隔離] を選択して、その他のログファセットを必要に応じて指定します。

  2. ログの詳細領域の [処理] で、項目の [隔離] をクリックします。

  3. 表示される画面で項目を選択し、必要に応じて復元、ダウンロード、または削除を行います。

    注:

    画面に項目が表示されない場合、その隔離項目はすでに復元されているか削除されている可能性があります。[>> ログに戻る] をクリックして [隔離] のログの種類を選択し、詳細情報を表示してください。

  4. [>> ログに戻る] をクリックします。

    [ログ] 画面に設定済みの検索条件と検索結果が表示されます。

(Exchange Online - インラインモードのみ) 以下では、本来対象の受信者以外のユーザにリダイレクトされたメールの追跡ログを表示する方法を説明します。

  1. [種類] ドロップダウンリストから [情報漏えい対策] を選択し、[検索元] ログファセットで [Exchange Online (インラインモード) ] を選択し、[処理] ログファセットで [受信者を変更] を選択して、その他のログファセットを必要に応じて指定します。

  2. ログの詳細領域の [処理] で、項目の [受信者を変更] をクリックします。

    表示される画面で、このメールの追跡ログを見ることができます。これには、メールのリダイレクト先のユーザと本来対象の受信者両方の情報が含まれます。

以下では、検出された不正ファイルまたはURLの仮想アナライザレポートを表示する方法を説明します。

  1. [種類] ドロップダウンリストから [仮想アナライザ] を選択し、[脅威の種類] ログファセットから [不正ファイル] または [不正URL] を選択します。

  2. [概要レポート]の下の [レポートのダウンロード]をクリックします。

以下では、ランサムウェアについての情報ソースを表示する方法を説明します。

  1. [種類] ドロップダウンリストから、[ランサムウェア] を選択します。

  2. [ランサムウェア名]の下のランサムウェアの脅威にマウスを重ねると、そのランサムウェアのドメイン、IP、場所が表示されます。

親トピック: ログとレポート