Correlation Graph 是觸發對象與其他相關對象之間關聯的視覺表示。
步驟
- 從主畫面執行初步分析:關聯圖中的元素
播放條 / 時間滑桿 點選播放條以查看相關事件的時間線。Deep Discovery Director - Network Analytics 會先顯示最早的相關事件,然後依序顯示到最新的相關事件。使用時間軸滑桿來查看選定時間範圍內的相關事件。圖表僅顯示選定時間範圍內的相關性。-
通過點擊時間軸上的左右抓取條並將其拖動到所需位置來調整時間範圍。
-
圖表中顯示的相關性(及結果交易詳情)會根據所選時間範圍內發現的事件資料防護而變化。
點選位於Playback Bar旁邊的篩選圖示 (
) 以顯示或隱藏進階搜尋篩選器。使用進階搜尋篩選器來建立和應用自訂搜尋。如需詳細資訊,請參閱 關聯圖進階搜尋篩選。Correlation Line每個關聯圖包含一條或多條關聯線,這些關聯線將來源和目的地之間的惡意或可疑活動相關聯。-
每條關聯線代表兩個主機之間的一個或多個交易。
-
線條的粗細與主機之間發生的交易數量成正比。
-
關聯線可以在內部主機和外部伺服器之間,或在兩個內部主機之間(橫向移動)。
-
每條關聯線都標有主機之間交易所使用的協議。關聯線中的箭頭表示交易的方向,從來源到目的地。涉及電子郵件發件人的關聯線被標記為Suspicious Email Activity。
Internal hosts-
內部主機由 IP 位址識別;如果已知,還會提供主機名稱和登入的使用者。圖示代表相關資訊可能顯示在內部主機旁邊。例如,如果內部主機在優先監控清單或註冊服務清單上,圖表會顯示相應的圖示。
注意
-
優先監控清單包括您環境中您認為在事件追蹤和事件報告中屬於高優先級的伺服器。
-
註冊服務列表包括您組織內部使用或認為可信的特定服務專用伺服器。
-
-
將滑鼠懸停在每個內部主機和外部伺服器旁邊的向下三角形圖示 (
) 上,以查看您可以對該主機執行的其他操作列表。Copy to clipboard:將值複製到您的剪貼簿。
External servers-
外部伺服器由 IP 位址識別;如果已知,則提供網域名稱。電子郵件發件人由電子郵件地址識別,並始終顯示在External Servers側的頂部。其他相關資訊可能會顯示給外部主機。
-
將滑鼠懸停在每個外部伺服器旁邊的向下三角形圖示 () 上,以查看您可以對該主機執行的其他操作列表。
-
Copy to clipboard:將值複製到您的剪貼簿。
-
Threat Connect:在新的瀏覽器標籤頁中打開Trend Micro Threat Connect,並查詢此對象。
-
DomainTools (WHOIS):在新的瀏覽器標籤頁中打開DomainTools,並查詢此 IP 位址或網域。
-
VirusTotal:在新的瀏覽器標籤頁中打開VirusTotal,並查詢此對象。
-
Activity Legend識別圖中內部主機和外部伺服器參與者的關鍵活動。-
每個特定的關聯圖表的活動各不相同。
-
可以包括以下類似活動:暴力破解驗證、C&C 回呼、資料外洩、橫向移動、惡意傳輸、其他惡意活動和弱點利用。
-
某些活動對應於Deep Discovery Director日誌中的原因。
Participant Icons您可以通過檢查相應活動欄中的圖標來確定每個內部主機或外部伺服器參與的活動。將滑鼠懸停在內部主機或外部伺服器上,以查看它們參與的活動,這些活動將以藍色突出顯示。 -