[相関グラフ] は、トリガオブジェクトと他の関連オブジェクトとの相関関係を視覚的に表したものです。
手順
- メイン画面で最初の分析を実行します。[相関グラフ] の要素
再生バー/タイムスライダ 再生バーをクリックして、相関イベントのタイムラインを表示します。Deep Discovery Director -Network Analyticsは最も古い相関イベントから始まり、最新の相関イベントまで続きます。選択した期間の相関イベントを表示するには、タイムラインスライダを使用します。グラフには、選択した期間内の相関関係のみが表示されます。-
期間を調整するには、タイムラインの左側および右側にあるグラブバーをクリックして、目的の位置にドラッグします。
-
グラフに表示される相関 (および結果として得られるトランザクションの詳細) は、選択した期間に見つかったイベントデータに応じて異なります。
[Playback Bar]の横にある
をクリックして、高度な検索フィルターを表示または非表示にします。詳細検索フィルタを使用して、カスタマイズされた検索を作成および適用します。詳細については、相関グラフの詳細検索フィルタ 。相関線各相関グラフには、送信元と送信先の不正または不審な活動を相互に関連付ける、1つ以上の相関ラインが含まれます。-
各相関ラインは2台のホスト間の1つ以上のトランザクションを表しています。
-
ラインの太さは、ホスト間で発生したトランザクションの数に比例します。
-
相関ラインは、内部ホストと外部サーバ間、または2台の内部ホスト間 (内部活動) で形成されます。
-
各相関線には、ホスト間のトランザクションで使用されるプロトコルのラベルが付いています。相関線内の矢印は、トランザクションの方向を示しており、送信元から宛先へ向かいます。メール送信者に関する相関線には、[不審なメールアクティビティ]というラベルが付いています。
内部ホスト-
グラフは、内部ホストをインターネットプロトコル (IPアドレス) およびホスト名とユーザが判明している場合に識別します。内部ホストの横に関連情報を表すアイコンが表示されることがあります。たとえば、内部ホストが優先監視リストや登録サービスリストにある場合、グラフには適切なアイコンが表示されます。
注意
-
優先監視リストには、イベント追跡およびインシデントレポートの優先度が高いと考えられる環境内のサーバが含まれます。
-
登録済みサービスリストには、組織内で使用されている、または信頼できると見なされる特定のサービスの専用サーバが含まれます。
-
-
各内部ホストおよび外部サーバの横にある下向き三角形 (
) にカーソルを合わせると、そのホストに対して実行できる追加のアクションのリストが表示されます。[クリップボードにコピー]: 値をクリップボードにコピーします。
外部サーバ-
外部サーバはIPアドレスによって識別されます。判明している場合、そのドメイン名も表示されます。メール送信者はメールアドレスで識別され、常に [外部サーバ] 側の上部に表示されます。外部ホストに関連する他の情報が表示される場合もあります。
-
各外部サーバの横にある下向きの三角形 () にカーソルを合わせると、そのホストに対して実行できる追加のアクションのリストが表示されます。
-
[クリップボードにコピー]: 値をクリップボードにコピーします。
-
脅威の接続: 開くトレンドマイクロ Threat Connectブラウザの新しいタブに、このオブジェクトのクエリを表示します。
-
[DomainTools (WHOIS)]: [DomainTools] を新しいブラウザタブで開き、このIPアドレスまたはドメインのクエリを表示します。
-
[VirusTotal]: [VirusTotal] をブラウザの新しいタブで開き、このオブジェクトのクエリを表示します。
-
アクティビティの凡例グラフに表示される内部ホストや外部サーバの主な活動を識別します。-
活動は個々の相関グラフによって異なります。
-
次のような流出が内部活動れます。
-
一部のアクティビティは、 Deep Discovery Director ログのReasonに対応しています。
参加者アイコン対応する活動列のアイコンの表示を確認することで、内部ホストや外部サーバが関与した活動を判別できます。内部ホストや外部サーバにカーソルを合わせると、関与している活動が青色で強調表示されます。 -