検出モデルによってアラートがトリガされた後、アラートの詳細をドリルダウンして詳細な調査を開始できます。
アラートの詳細画面が表示されます。
詳細については、「 アラートの詳細」を参照してください。
一致したモデルに関する情報を確認します。
アラートが影響を与えるエンティティの詳細を確認するには、影響範囲の横にある各アイコンをクリックします。
アラートまたは調査のステータスを変更するには、ステータスアイコンをクリックします。
現在のアラートまたは調査にメモを追加するか、既存のメモを確認するには、 メモ アイコン()をクリックします。
ハイライトセクションには、アラートをトリガした特定の検出フィルタが表示されます。検出モデルでは、フィルタを使用して、MITREの手法および報告された脅威のインジケータに一致する不審な動作を検出します。 ハイライト セクションのすべてのイベントは、トリガされた検出フィルタの名前で始まります。
MITER 手法の詳細については、 手法の横にある関連リンクをクリックしてください。
イベントおよびオブジェクト間の関係を確認するには、任意のイベントをクリックして、 相関グラフ セクションで特定のオブジェクトを強調表示します。
Searchアプリでイベント UUID を使用して新しい検索クエリを作成するには、SearchイベントUUIDをクリックします。
コンテキストメニューを開くには、オブジェクトを右クリックして、使用可能な処理を選択します。
詳細については、手順3を参照してください。
コンテキストメニューは、選択したオブジェクトによって異なり、選択したオブジェクトで使用可能なタスクのみが表示されます。
単一ノードの関連ノードを確認するには、目的のノードをクリックします。
ノードグループに含まれるすべてのオブジェクトとの関連付けを確認するには、グループ化されたオブジェクトの総数が表示されているノードをクリックし、表示されるサイドパネルに詳細を表示します。
同じ種類のオブジェクトは、同じ関連付けを共有している場合にのみグループ化されます。
ノードを任意の方向に移動するには、グラフ内でノードをドラッグします。
ズームインまたはズームアウトするには、右下のアイコンをクリックします。
詳細については、「 コンテキストメニュー 」および「 高度な分析処理」を参照してください。
コンテキストメニューは、選択したオブジェクトによって異なり、選択したオブジェクトで使用可能なタスクのみが表示されます。