アラートの詳細

Workbench では、より効果的な調査のために、詳細なアラート情報が一元的に表示されます。

次の表では、アラートの詳細を構成するさまざまな要素について説明します。

表 1. アラートの詳細画面の左側のパネル

要素

説明

概要 セクション

調査するアラートの基本情報を提供します。

  • ステータス アイコン: Workbenchでトリガされたアラートまたは調査の現在のステータス

    • 新規:アラートは新しく、現在調査中ではありません。

    • 進行中:ユーザがアラートの調査を開始しました。

    • 終了:ユーザがアラートの調査を完了

    • 終了- 誤検出:ユーザが調査を完了し、このアラートを 誤検出として特定しました

  • スコア:アラートをトリガしたモデルに割り当てられた重要度

  • 一致した検出モデルの名前と説明

  • 影響範囲:社内ネットワーク内でアラートが影響するエンティティの数

  • 作成済みTrend Micro Vision One がアラートを生成した日時

  • 自動対応:アラートに関連付けられた自動 対応 タスクのステータスまたは数

Threat Intelligence Sweeping モデルによってアラートがトリガされた場合、次のフィールドも表示されます。

  • キャンペーン:関連する脅威キャンペーン

  • 業種:脅威のキャンペーンが属する業界

  • インテリジェンスソース:一致する インテリジェンスレポートを提供するデータソース。

  • 最初の出現: Threat Intelligence Sweeping モデルで最初にIoCが特定された日時

  • 前回の出現: Threat Intelligence Sweeping モデルが最後に識別したIoCを示した日時。

ハイライト セクションをハイライト表示

アラートをトリガしたイベントオブジェクトのリストを、コンテキストに応じた情報とともに表示します。

各イベントは次の情報で構成されます。

  • 不審な挙動を検出したフィルタ

  • 一致したMITRE 手法 および関連リンク

  • 検出が行われた日時

  • エンドポイント、コマンドライン、メールメッセージ、レジストリなど、イベントに関連するオブジェクト

    注:

    イベントに関係するオブジェクトには次の2種類があります。

    • 注目すべきオブジェクト

    • 影響範囲に含まれるエンティティ

Threat Intelligence Sweeping モデルによってアラートがトリガされた場合は、ハイライトセクションに、特定されたIoCと関連オブジェクトが代わりに表示されます。

表 2. アラートの詳細画面の右側のパネル

要素

説明

上部のタイムラインバナー

検出が行われた日時が表示されます。

相関グラフ セクション

視覚化された形式でアラートの詳細なコンテキストを提供します。

ハイライトセクションで任意のイベントをクリックすると、 相関グラフの特定のオブジェクトが強調表示されます。

グラフ内の各ノードはオブジェクトを参照し、各リンクは1つのノードと隣接ノード間の関係を反映します。

  • 各行()は、2つのオブジェクト間の関連付けを表します。たとえば、ユーザアカウントはエンドポイントに関連付けられます。

  • それぞれの矢印()は、2つのオブジェクト間のトランザクションの方向を示します。