インシデント対応エビデンス収集Playbook、エビデンス収集タスク、およびトレンドマイクロインシデント対応ツールキットが収集するネットワーク情報カテゴリのエビデンスの種類について学びます。
アドレス解決プロトコル (ARP)
|
エビデンスデータ
|
説明
|
|
ネットワークインタフェース
|
ローカルインターフェースアドレス。
|
|
住所
|
インターフェースにキャッシュされたIPアドレス。
|
|
MAC
|
IPアドレスで解決された物理アドレス。
|
|
永続的
|
キャッシュエントリが静的か動的か。
|
DNSキャッシュ
|
エビデンスデータ
|
説明
|
|
名前
|
DNSを介して照会された名前と、アドレスなどの関連レコード。
|
|
種類
|
DNSレコードエントリのタイプ (例: A、CNAME)。
|
|
TTL
|
キャッシュエントリが有効である秒数。
|
|
データ長
|
データフィールドの長さ (バイト単位)。
|
|
セクション
|
DNSクエリへの回答を表すセクション。
|
|
データ
|
ドメイン名レコードに対応するデータ (例: IPアドレス、CNAME)。
|
ファイアウォールルール
|
エビデンスデータ
|
説明
|
|
名前
|
ルールの一意の英数字識別子。
|
|
有効
|
ルールが現在有効かどうか。
|
|
方向
|
ルールが適用されるトラフィックの方向 (インバウンドまたはアウトバウンド)。
|
|
プロファイル
|
ルールが属するネットワークプロファイル (ドメイン、プライベート、パブリック)。
|
|
グループ化
|
関連するファイアウォールルールを管理するために割り当てられたグループ。
|
|
ローカルアドレス
|
ルールでカバーされるローカルIPアドレスは、カンマ区切りのトークンとして指定されます。
|
|
リモートアドレス
|
ルールでカバーされるリモートIPアドレスは、カンマ区切りのトークンとして指定されます。
|
|
プロトコル
|
ルールで指定されたIPプロトコル (例: TCP、UDP、ICMPv6)。
|
|
ローカルポート
|
ルールでカバーされるローカルポート番号または範囲。
|
|
リモートポート
|
ルールでカバーされるリモートポート番号または範囲。
|
|
エッジトラバーサル
|
Teredoなどの技術を使用したエッジトラバーサルがルールに対して有効かどうかを示します。
|
|
処理
|
ルールによって実施されるアクション (許可またはブロック)。
|
Netstat
|
エビデンスデータ
|
説明
|
|
プロトコル
|
使用されるプロトコルの名前 (TCPまたはUDP)。
|
|
ローカルアドレス
|
接続に使用されているローカルコンピュータのIPアドレスとポート番号。
|
|
リモートアドレス
|
ソケットが接続されているリモートコンピュータのIPアドレスとポート番号。
|
|
都道府県
|
TCP接続の現在の状態 (例: ESTABLISHED、LISTEN、CLOSED)。
|
ネットワーク共有
|
エビデンスデータ
|
説明
|
|
名前
|
共有リソースのネットワーク名。
|
|
パス
|
共有ディレクトリの絶対ローカルパス。
|
|
備考
|
共有リソースに関する説明コメント。
|
ルートテーブル
|
エビデンスデータ
|
説明
|
|
種類
|
ルートがアクティブルートか、レジストリに保存された永続ルートかどうか。
|
|
送信先
|
ルートのネットワーク宛先アドレス。
|
|
Netmask
|
ネットワーク宛先に関連付けられたサブネットマスク。
|
|
ゲートウェイ
|
ルートの転送先または次ホップのIPアドレス。
|
|
ネットワークインタフェース
|
ルートに関連付けられたネットワークインターフェースアドレス。
|
|
メトリック
|
ルートに割り当てられたコストメトリックで、複数のルート間の優先順位を決定するために使用されます。
|
TCP
|
エビデンスデータ
|
説明
|
|
都道府県
|
TCP接続の現在の状態 (例: LISTEN、ESTABLISHED)。
|
|
ローカルアドレス
|
TCP接続に関連付けられたローカルIPアドレス。
|
|
ローカルポート
|
TCP接続のネットワークバイトオーダーでのローカルポート番号。
|
|
リモートアドレス
|
TCP接続に関連付けられたリモートIPアドレス。
|
|
リモートポート
|
TCP接続のネットワークバイトオーダーでのリモートポート番号。
|
|
PID
|
TCP接続エンドポイントを所有するプロセスのプロセスID (PID)
|
|
オフロード状態
|
接続のTCPチムニーオフロード状態。
|
|
ローカルスコープID
|
TCP接続のIPv6アドレスのローカルスコープID。
|
|
リモートスコープID
|
TCP接続のIPv6アドレスのリモートスコープID。
|
|
家族
|
接続で使用されるアドレスファミリ (IPv4またはIPv6)。
|
UDP
|
エビデンスデータ
|
説明
|
|
ローカルアドレス
|
UDPエンドポイントのローカルIPアドレス。
|
|
ローカルポート
|
UDPエンドポイントのネットワークバイトオーダーでのローカルポート番号。
|
|
ローカルスコープID
|
UDPエンドポイントのIPv6アドレスのローカルスコープID。
|
|
家族
|
エンドポイントで使用されるアドレスファミリ (IPv4またはIPv6)。
|