インシデントベースの実行プロファイル

インシデントベースの実行プロファイルを使用すると、同じ根本原因を示す可能性のある個別のアラートではなく、より広い視点(インシデントビュー)で、影響を受けるエンドポイントのオブジェクトとイベントに焦点を当てることができます。

重要:

これは「プレリリース」機能であり、公式リリースとは見なされません。この機能を使用する前に、 プレリリースに関する免責事項 を確認してください。

インシデントベースの実行プロファイルでは、関連するアラートを関連付けてグループ化することで、複数の分析チェーン上のオブジェクトとイベントを視覚化し、インタラクティブな調査を容易にします。

次の表は、インシデントベースの実行プロファイルを構成するさまざまな要素を示しています。

要素

説明

左側のパネル

Observed Attack Techniques パネル

環境で検出された個々のイベントと関連するMITER情報を一覧表示します。

イベントを表示 をクリックすると、 Observed Attack Techniques アプリでイベントの詳細をさらに確認できます。

注:

[ Observed Attack Techniques]には、現在の分析チェーンで使用可能なオブジェクトに基づいて、 "Critical""High"、および "Medium" のリスクレベルの検出フィルタのみが表示されます。

エンドポイント パネル

インシデントの関連アラートから影響を受けたエンドポイントおよび 注目すべきオブジェクト を一覧表示します。

グラフセクション

チェーンビュー

インタラクティブな調査のためにオブジェクトとイベントを視覚化する複数の分析チェーンを集約します。

任意のノードをクリックすると、詳細なプロファイルを表示し、オブジェクトの関連イベントを確認できます。最初の分析チェーンでは、最も重要なイベントがベースラインとして表示され、必要に応じてチェーンにイベントを追加できます。

右側のパネル

プロフィール タブ

選択したオブジェクトに該当する詳細が表示されます。

イベント タブ

選択したオブジェクトによって実行された処理が表示されます。

各処理を展開してイベントに関連するオブジェクトを確認し、動的に表示するかチェーンビューで非表示にするかを選択できます。

ソース タブ

選択したオブジェクトの起点が表示されます。これはチェーンビューには表示されません。