相関グラフを使用した分析

相関グラフ は、トリガオブジェクトと他の関連オブジェクトとの相関関係を視覚的に表現したものです。

メイン画面で最初の分析を実行します。

[相関グラフ] の要素

図 1. 再生バー/タイムスライダ

相関イベントのタイムラインを表示するには、再生バーをクリックします。Deep Discovery Director -Network Analyticsでは、最も古い相関イベントが最初に描画され、最後の相関イベントまで継続されます。

タイムラインスライダを使用して、選択した期間の相関イベントを表示します。グラフには、選択した期間内の相関のみが表示されます。

  • タイムラインの左側と右側のグラブバーをクリックし、目的の場所にドラッグして、時間枠を調整します。

  • グラフに表示される相関(および結果のトランザクションの詳細)は、選択した期間内に見つかったイベントデータに応じて変化します。

再生バー の横にあるフィルタアイコン()をクリックして、詳細検索フィルタを表示または非表示にします。

高度な検索フィルタを使用して、カスタマイズされた検索を作成および適用します。

詳細については、「 相関グラフの詳細検索フィルタ」を参照してください。

相関ライン

各相関グラフには、送信元と送信先の間の不正なアクティビティまたは不審なアクティビティを相関付ける1つ以上の相関線が含まれます。

  • 各相関ラインは、2つのホスト間の1つ以上のトランザクションを表します。

  • 線の太さは、ホスト間で発生するトランザクション数に比例します。

  • 相関ラインは、内部ホストと外部サーバ間、または2つの内部ホスト間(内部活動)にすることができます。

  • 各相関ラインには、ホスト間のトランザクションで使用されるプロトコルのラベルが付けられます。相関ライン内の矢印は、送信元から送信先へのトランザクションの方向を示します。

    メール送信者に関連する相関行には、 Suspicious メール Activityのラベルが付けられます。

内部ホスト

  • 内部ホストはIPアドレスで識別されます。ホスト名とログオンしているユーザもわかります。

    内部ホストの横に、関連する情報を表すアイコンが表示されることがあります。たとえば、内部ホストが優先ウォッチリストまたは登録済みサービスリストにある場合、グラフには適切なアイコンが表示されます。

    注:
    • 優先ウォッチリストは、イベント追跡およびインシデントレポートで優先度が高いと見なされる環境のサーバで構成されます。

    • 登録済みサービスリストは、組織で内部的に使用されている、または信頼できると見なされる特定のサービス専用のサーバで構成されます。

  • 各内部ホストおよび外部サーバの横にある下向きの三角形のアイコン()にマウスを重ねると、そのホストに対して実行できる追加の処理のリストが表示されます。

    クリップボードにコピー: クリップボードに値をコピーします。

外部サーバ

  • 外部サーバはIPアドレスで識別されます。既知の場合はドメイン名も表示されます。

    メール送信者はメールアドレスで識別され、常に 外部サーバ 側の上部に表示されます。

    外部ホストのその他の関連情報が表示される場合があります。

  • 各外部サーバの横にある下向きの三角形のアイコン()にマウスを重ねると、そのホストに対して実行できる追加の処理のリストが表示されます。

    • クリップボードにコピー: クリップボードに値をコピーします。

    • Threat Connect: このオブジェクトに対するクエリが含まれた新しいブラウザタブで [Trend Micro Threat Connect] を開きます。

    • DomainTools (WHOIS): IPアドレスまたはドメインに対するクエリが含まれた新しいブラウザタブで [DomainTools] を開きます。

    • VirusTotal: このオブジェクトに対するクエリが含まれた新しいブラウザタブで [VirusTotal] を開きます。

アクティビティ 凡例

グラフに表示される内部ホストや外部サーバの主な活動を識別します。

  • アクティビティは特定の相関グラフごとに異なります。

  • 次のようなアクティビティを含めることができます。BruteForce Authentication、C&C Callback、Data 流出、 内部活動、不正な転送、その他の不正なアクティビティ、および脆弱性の攻撃コード。

  • Deep Discovery Director ログの理由に対応するアクティビティがあります。

参加者アイコン

対応するアクティビティ列のアイコンを確認することで、各内部ホストまたは外部サーバが関与したアクティビティを確認できます。

内部ホストまたは外部サーバにマウスを重ねると、それらが参加しているアクティビティが青色でハイライト表示されます。