調査:[コンテキスト ルックアップ]パネル

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

管理者がContext Hubサービスを構成した後、[ナビゲート]ビュー、[レガシー イベント]ビュー、[イベント]ビュー(バージョン11.2以降)に、メタ値に関するコンテキスト情報を表示できます。Context Hubサービスでは、メタ タイプとメタ キーのデフォルトのマッピングが事前に構成されています。Context Hubのメタ値と調査のメタ キーのマッピングの詳細については、『Context Hub構成ガイド』の「メタ タイプとメタ キーのマッピングの管理」を参照してください。

[コンテキスト ルックアップ]パネルは、[ナビゲート]ビュー、[レガシー イベント]ビュー、[イベント]ビューの右側に表示されます。Context Hubリストに追加されているメタ値は、[ナビゲート]ビューまたは[レガシー イベント]ビューの結果中で灰色でハイライト表示されます。[イベント]ビューでは、下線でマークされます。ハイライト表示されている値を右クリックし、[コンテキスト ルックアップ]を選択すると、表示されるコンテキスト メニューで、選択したメタ値の構成済みのソースの[コンテキスト ルックアップ]パネルにルックアップ結果が表示されます。[コンテキスト ルックアップ]パネル アイコン バーでソースを選択すると、コンテキスト情報を表示できます。

「ナビゲート」ビューまたは「イベント」ビューで開いたときと、[イベント]ビューで開たときとでは、[コンテキスト ルックアップ]パネルの外観と内容にいくつかの違いがあります。

ワークフロー

このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。

[コンテキスト ルックアップ]パネルで実行されたタスクがハイライト表示されているワークフロー

実行したいことは何ですか?

                                                          
ユーザ ロール実行したいこと手順
インシデント対応者

重要なインシデントまたはアラートの確認

NetWitness Respondユーザ ガイド

脅威ハンターサービス、メタデータ、時間範囲のクエリを実行

[イベント]ビューでの結果のフィルタリング

[ナビゲート]ビューでの結果のフィルタリング

[ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

メタデータの表示

[イベント]ビューでのイベントの分析

結果セットの絞り込み

脅威ハンター

RAWイベント データの表示

[イベント]ビューでの結果のフィルタリング

[イベント]ビューでのイベントの分析

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

イベントの再構築

[イベント]ビューでのイベントの分析

[イベント]ビューでのイベントの再構築

[レガシー イベント]ビューでのイベントの再構築

脅威ハンターファイルの検証

[イベント]ビューでのデータのダウンロード

[ナビゲート]ビューでのドリルダウン ポイントのエクスポートまたは印刷

[レガシー イベント]ビューでのイベントのエクスポート

脅威ハンタールックアップの実行*

結果の追加のコンテキストを検索

メタ キーのルックアップの起動

脅威ハンターインシデントの作成またはインシデントへの追加*

[レガシー イベント]ビューでのインシデントへのイベントの追加

[レガシー イベント]ビューでのインシデントへのイベントの追加

脅威ハンター

Context Hubリストへのメタ値の追加

結果の追加のコンテキストを検索

*このタスクは現在のビューで実行できます。

関連トピック

([ナビゲート]ビューおよび[レガシー イベント]ビューでの)簡単な説明

次の図は、[ナビゲート]ビューと[レガシー イベント]ビューに表示される[コンテキスト ルックアップ]パネルの例です。コントロールと機能については、表で説明します。

[コンテキスト ルックアップ]パネルが開いている[ナビゲート]ビュー

                               
機能説明
ソース オプション バー使用可能なソース(エンドポイント、インシデント、アラート、リスト)のアイコンが表示されます。
ソース名選択したアイコンに基づいてソース名が表示されます。
  • エンドポイント
  • インシデント
  • アラート
  • リスト
  • Live Connect
ソート

表示されたコンテキスト情報をソートするオプションをドロップダウンで選択できます。ソート オプションには[重大度 - 高い順]、[重大度 - 低い順]、[日付 - 古い順]、[日付 - 新しい順]があり、ソースのタイプによって異なります。

更新アイコン ルックアップ結果を更新します。
<n件のアイテム>(最初の<n>件の結果)フッターに現在表示されている結果の件数と結果の総数が表示されます。たとえば、[5件のアラート(最初の50件の結果)]のように表示されます。

インシデント

インシデントは時間順(新しい順)に表示され、さらに優先度のステータスでソートされます。インシデントのルックアップでは、次の情報が表示されます。

  • インシデントの名前とID
  • インシデントの優先度のステータス
  • インシデントのリスク スコアの値
  • インシデントが作成された日付
  • インシデントのステータス
  • インシデントの割り当て先
  • 最終更新日コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
  • タイム ウィンドウ: これは[Respondの構成]ウィンドウの[クエリの対象期間(日数)]フィールドに設定された値に基づいています。詳細については、『Context Hub構成ガイド』の「データ ソースとしてのRespondの構成」を参照してください。
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

アラート

アラートが重大度に基づいて表示されます。アラートのルックアップでは、次の情報が表示されます。

  • アラート名
  • アラートの重大度の値
  • アラートが作成された日付
  • インシデントID:アラートが関連づけられているインシデントのIDです(該当する場合)。
  • ソース:イベント ソース名
  • アラートに関連するイベントの数。
  • 更新日: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
  • タイム ウィンドウ: これは[Respondの構成]ウィンドウの[クエリの対象期間(日数)]フィールドに設定された値に基づいています。詳細については、『Context Hub構成ガイド』の「データ ソースとしてのRespondの構成」を参照してください。
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

リスト

リストのルックアップでは、次の情報が表示されます。

  • リスト名
  • リストを作成したオーナー
  • 作成日
  • 最終更新日
  • リストの説明

エンドポイント

エンドポイントのルックアップでは、次の情報が表示されます。

  • マシン名とマシンのIPアドレス。
    IPまたはエンドポイント マシン名をクリックすると、エンドポイントUIに移動してさらに詳しい調査を実行できます。
  • 更新日: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
  • マシン スコア:モジュールのスコアに基づいてマシンのIIOCスコアが集計されます。
  • モジュール数:選択したマシンのアクティブなファイルの数。
  • 最終更新日:エンドポイント データベースでスキャン結果が最後に更新された時刻を示します。
  • 最後にログインしたユーザ
  • マシンのMACアドレス
  • オペレーティング システムのバージョン
  • 管理メモ(該当する場合)
  • 管理ステータス(該当する場合)
  • 最も疑わしいモジュール(IIOCスコアが500を超えるモジュール)。これは[エンドポイントの構成]ウィンドウの[最小IIOCスコア]フィールドに設定された値に基づいています。[最小IIOCスコア]のデフォルト値は500です。
  • マシンIIOCレベル

[イベント]ビューの簡単な説明(バージョン11.2以降)

次の図は、[イベント]ビューに表示される[コンテキスト ルックアップ]パネルの例です。

「イベント分析」ビューの[コンテキスト ルックアップ]パネル

[コンテキスト ルックアップ]パネルに表示されるコンテキスト情報やクエリの結果は、選択したエンティティと関連するデータ ソースに依存します。[コンテキスト ルックアップ]パネルには、データ ソースごとに個別のタブがあります。タブには、[データ ソースのリスト]、[Archer]、[Active Directory]、[エンドポイント]、[インシデント]、[アラート]、[Live Connect]があります。次の図は、[インシデントの詳細]ビューで選択したエンティティの[コンテキスト ルックアップ]パネルを示しています。

次の表は、各タブおよびサポートされるエンティティで使用可能なデータを示しています。

                                                     
タブ説明サポートされるエンティティ


(リスト)

選択したエンティティまたはメタ値に関連付けられているすべてのリストのデータを表示します。リストの最終更新日時によってソートされます。

すべてのエンティティ


(Archer)
Archerデータ ソースから、重要度評価と資産情報を表示します。IP、ホスト、MAC


(Active Directory)

選択したユーザのすべてのユーザ情報を表示します。

ユーザ


(NetWitness Endpoint)



マシン、モジュール、IIOCレベルを含む選択したエンティティまたはメタ値のNetWitness Endpointデータ ソースの情報を表示します。モジュールは最大IOCスコアから最小IIOCスコアの順にソートされ、IIOCレベルは最高IOCレベルから最低IOCレベルの順にソートされます。IP、MACアドレス、ホスト

(インシデント)
選択したエンティティまたはメタ値に関連付けられているインシデントのリストを表示します。最新のインシデントから最も古いインシデントの順にソートされます。

すべてのエンティティ


(アラート)
選択したエンティティまたはメタ値に関連付けられているアラートのリストを表示します。最新のアラートから最も古いアラートの順にソートされます。すべてのエンティティ

(Live Connect)
Live Connectから関連する情報を表示します。

IP、ドメイン、Filehash

(ファイル レピュテーション)

Filehashエンティティのファイル レピュテーションのステータスを表示します。Filehashエンティティ

[リスト]タブ

[コンテキスト ルックアップ]パネルの[リスト]タブには、選択したエンティティまたはメタ値に関連する1つ以上のリストが表示されます。次の図は、[コンテキスト ルックアップ]パネルの[リスト]タブの例です。表にはフィールドの説明が記載されています。

                                           

フィールド説明
名前リストの名前(リストの作成時に定義)。
説明リストの説明(リストの作成時に定義)。
作成者リストを作成したオーナー。
作成日時リストが作成された日付。
更新日リストが最後に更新または変更された日付。
件数選択したエンティティまたはメタ値が使用可能なリストの数。
タイム ウィンドウ[レスポンスの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づくタイム ウィンドウ。デフォルトでは、[リスト]のすべてのデータがフェッチされます。

最終更新日

Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。

[Archer]タブ

[コンテキスト ルックアップ]パネルの[Archer]タブには、IP、ホスト、およびMACのエンティティについて、Archerデータ ソースから取得した重要度評価と資産情報が表示されます。次の図は、[コンテキスト ルックアップ]パネルの[Archer]タブの例です。表には各フィールドの説明が記載されています。


                                                               
フィールド説明
重要度評価デバイスがサポートするアプリケーションに基づいて算出されたデバイスの業務上の重要度。重要度評価は、未評価、低、中-低、中、中-高、高のいずれかに設定できます。
リスク評価最新のアセスメント結果と、このデバイスを使用する施設の平均リスク評価から、デバイスのリスク評価を計算します。リスク評価は、重大、高、中、低、軽微のいずれかに設定できます。
デバイス名デバイスの固有の名前。
host Nameデバイスのホスト名。
IPアドレスデバイスのプライマリ内部IPアドレス。
デバイスIDシステム内のすべてのアプリケーションにおいてデバイス レコードを一意に識別する、自動的に設定された値。
タイプサーバ、ラップトップ、デスクトップなどのデバイスの種類。
施設(Facilities)このデバイスに関連する施設アプリケーション内のレコードへのリンク。
ビジネス ユニット(Business Unit)このデバイスに関連するビジネス ユニット アプリケーション内のレコードへのリンク。3を越えるビジネスユニットの値については、フィールドにカーソルを合わせると表示されます。
デバイス管理責任者デバイスを担当し、レコードの読み取りおよび更新権限を持つデバイスの管理責任者。

件数

使用可能な資産の数。

タイム ウィンドウ

[レスポンスの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、Archerのすべてのデータをフェッチします。
最終更新日Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。

注: ローカライズ版で表示されるのは、重要度評価、リスク評価、デバイス管理責任者、ビジネス ユニット、ホスト名、MACアドレス、施設、IPアドレス、タイプ、デバイスID、デバイス名、ビジネス プロセスの12個のフィールドのみです。

[Active Directory]タブ

次の図は、Active Directoryの[コンテキスト ルックアップ]パネルの例です。

 

Active Directoryの[コンテキスト ルックアップ]パネルには、ユーザのすべての関連情報、インシデント、アラートが表示されます。次の形式を使用して検索を実行できます。

  • userPrincipalName
  • Domain\UserName
  • sAMAccountName

Active Directoryについて次の情報が表示されます。

                                                                               
フィールド説明

表示名

ユーザの名前。

従業員ID

ユーザの従業員ID。

電話

ユーザの電話番号。

メール

ユーザのメールID。

ADユーザID

組織内の特定ユーザの固有ID。

役職

ユーザの役職。

マネージャー

ユーザのマネージャの名前。

グループ

ユーザが所属するグループのリスト。

会社(Company)

ユーザの会社の名前。

部門

ユーザが所属する組織内の部門名。

場所

ユーザの場所。

最終ログオン

ユーザがシステムにログインした時刻(グローバル カタログが定義されている場合のみ)。

最終ログオンのタイム スタンプユーザがシステムにログインした時刻。
識別名ユーザに割り当てられている固有の名前。
件数

ユーザの数。

タイム ウィンドウ

[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づくタイム ウィンドウ。デフォルトでは、Active Directoryのすべてのデータをフェッチします。

最終更新日

Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。

[NetWitness Endpoint]タブ

次の図は、[コンテキスト ルックアップ]パネルの[NetWitness Endpoint]タブの例です。

 

IIOCについて次の情報が表示されます。

                                           
フィールド説明
モジュール数検索されたモジュール数。
管理ステータス管理ステータス(該当する場合)。
最終更新日データが最後に更新された時刻。
最終ログインユーザが最後にログインした時間。
MACアドレスマシンのMACアドレス。
オペレーティング システムNetWitness Endpointマシンで使用されるオペレーティング システムのバージョン。
マシン ステータス表示されているモジュールの状態(オンライン、オフライン、アクティブ、非アクティブ)。
IPアドレス特定のモジュールのIPアドレス。

モジュールについて次の情報が表示されます。

                               
フィールド説明
IIOCスコアマシンIIOCスコアは、モジュールのスコアに基づいて集計されたスコアです。これは[Context Hubデータ ソース設定]ダイアログの[最小IIOCスコア]フィールドに設定された値に基づいています。[最小IIOCスコア]のデフォルト値は500です。「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」を参照してください。
モジュール名検索されたモジュールの名前。
解析スコア選択したマシンのアクティブなファイルの数。
マシン数特定のIOCがトリガーしたマシンの数。
署名ファイルが署名されているかどうかと、有効か無効かを示し、署名情報を提供します。たとえば、Google、Appleなど。

マシンについて次の情報が表示されます。

                                   
フィールド説明

IOCレベル

IOCレベル。

説明IOCレベルの説明(使用可能な場合)。
前回の実行アクションが実行された時刻。

件数

検索されているホスト数。

タイム ウィンドウ[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、NetWitness Endpointのすべてのデータがフェッチされます。
最終更新日NetWitness Endpointデータベースでスキャン結果が最後に更新された時刻。

[アラート]タブ

次の図は、最初に時間(新しい順)、次に重大度に基づいて表示された[アラート]の[コンテキスト]パネルの例です。

 

[コンテキスト ルックアップ]パネルの[アラート]タブには以下の情報が表示されます。

                                               
フィールド説明
作成日時アラートが作成された日時。
重大度アラートの重大度の値
名前アラートの名前。名前をクリックすると特定のアラートの詳細が表示されます。
ソースアラートをトリガーしたアラート ソースの名前。
イベント数アラートに関連するイベントの数。
インシデントIDアラートが関連づけられているインシデントのID(該当する場合)。IDをクリックすると特定のアラートの詳細が表示されます。

件数

アラート数デフォルトでは、最初の100件のアラートのみが表示されます。設定の構成方法の詳細については、『Context Hub構成ガイド』の「Context Hubのデータ ソース設定の構成」を参照してください。

タイム ウィンドウ

[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、過去7日間のアラート データをフェッチします。

最終更新日データ ソースからコンテキスト データを最後に取得した時刻。

[インシデント]タブ

次の図は、最初に時間(新しい順)次に優先度のステータスに基づいた[コンテキスト ルックアップ]パネルの[インシデント]タブの例です。

 

[コンテキスト ルックアップ]パネルの[インシデント]タブには以下の情報が表示されます。

                                                       
フィールド説明
作成日時インシデントが作成された日付。
優先インシデントの優先度のステータス。
リスク スコアインシデントのリスク スコア。
IDインシデントのインシデントID。IDをクリックするとインシデントの詳細が表示されます。
名前インシデントの名前。
ステータスインシデントのステータス。
割り当て先インシデントの現在のオーナー。
アラートインシデントに関連するアラートの数。

件数

インシデントの数。デフォルトでは、最初の100件のインシデントのみが表示されます。設定の構成方法の詳細については、『Context Hub構成ガイド』の「Context Hubのデータ ソース設定の構成」を参照してください。

タイム ウィンドウ

[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、過去7日間のアラート データをフェッチします。

最終更新日データ ソースからコンテキスト データを最後に取得した時刻。

[Live Connect]タブ

次の図は、[コンテキスト]パネルの[Live Connect]タブの例であり、表では表示される以下の情報について説明しています。

                                                       

フィールド説明
レビュー ステータス

選択したLive Connectエンティティ(IP、ファイル、ドメイン)をアナリストがレビューしたステータス。これにより、組織内で、アナリストのアクティビティの可視性が高まります。

ステータス
ステータスのタイプを以下に示します。

  • 新規:IPアドレスのルックアップの結果が組織内で最初に表示された場合。
  • 表示済み:組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みの場合。
  • 安全と判定:組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みで安全と判定している場合。
  • 高リスクと判定:組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みで高リスクと判定している場合。
リスク アセスメント

Live Connectの分析とアナリスト フィードバックに基づく、選択したLive Connectエンティティ(IP、ファイル、ドメイン)のリスク評価を表示します。リスク評価のカテゴリは次のとおりです。

  • 安全:Live Connectエンティティは、安全であると見なされています。
  • 不明:Live Connectには、リスクを計算するためのこのエンティティに関する十分な情報がありません。
  • 高リスク:コミュニティによる分析とリスクの理由に基づいて「高リスク」と判定します。「高リスク」と判定されたエンティティは、直ちに注意を要します。
  • 疑わしい:コミュニティによる分析とリスクの理由に基づいて「疑わしい」と判定します。分析は、アクションを必要とする脅威となる可能性のあるアクティビティを示しています。
  • 危険:コミュニティによる分析とリスクの理由に基づいて「危険」と判定します。
高リスク、疑わしい、危険と評価されたエンティティには、適宜関連するリスクの理由が表示されます。
リスク評価のフィードバック

 

リスク評価のフィードバックにより、アナリストはエンティティに関する脅威インテリジェンスのフィードバックをLive Connectサーバに送信できます。

  • アナリスト スキル レベル
    アナリスト スキル レベルのオプションを以下に示します。
    • Tier 1:このレベルのアナリストは改善のための処理手順を定義し、SOC(セキュリティ オペレーション センター)の他の領域にインシデントをエスカレーションする必要があるかどうかを判断します。これがデフォルト値です。
    • Tier 2:アナリストはインシデントを調査し、インテリジェンスを収集し、SOC内のさまざまなワークフローにフィードバックします。
    • Tier 3:調査結果をSOC組織と共有するアナリストです。一般的にインシデントを管理し、インシデント対応に必要なスキルとツールに関する幅広く深い知識があります。

    注: NetWitness Platform(アナリスト)の新しいユーザを作成するときに、管理者はユーザをTier 1、Tier 2、Tier 3のアナリストとして特定できる必要があります。

  • リスクの確認:選択したLive Connectエンティティ(IP、ファイル、ドメイン)のリスクを確認します。リスクの確認のカテゴリは次のとおりです。
    • 安全:Live Connectエンティティは、安全であると見なされています。

    • 不明:リスクの確認を行うために十分な情報がアナリストにありません

    • 高リスク:コミュニティによる分析とリスクの理由に基づいて「高リスク」と判定します。「高リスク」と判定されたエンティティは、直ちに注意を要します。
    • 疑わしい:コミュニティによる分析とリスクの理由に基づいて「疑わしい」と判定します。分析は、アクションを必要とする脅威となる可能性のあるアクティビティを示しています。
    • 危険:コミュニティによる分析とリスクの理由に基づいて「危険」と判定します。
  • 信頼度レベル:Live Connectエンティティのフィードバックに対するアナリストの信頼度レベルです。信頼度レベルのカテゴリーは、高、中、低です。
  • リスク インジケータ タグ:分析に基づいてタグ カテゴリを選択できます。
コミュニティ アクティビティ

次のようなコミュニティ アクティビティ:

  • コミュニティで最初に表示された日付。
  • IP/ファイル/ドメインが最初に表示された時間からの経過時間(現在の時間-初めて表示された時間)。

コミュニティ アクティビティのトレンドが表示されます。

RSAコミュニティの中で、IPアドレスが分かっている場合は、次のコミュニティ アクティビティのトレンドのグラフィカル表示が表示されます。

  • 所定の期間にLive ConnectコミュニティでIPアドレスを閲覧したユーザの割合(%単位)。
  • IPアドレスに関するフィードバックを送信したユーザの割合(%単位)。
  • 所定の期間にIPアドレスを安全でないとしてマークしたユーザの割合(%単位)。

リスク インジケータ

 

リスク インジケータは、コミュニティによってエンティティ(IPアドレス、ファイル、ドメイン)に割り当てられたタグに基づいてハイライト表示されます。

タグのカテゴリーは、スキャン、デリバリー、コマンド&コントロール、ラテラル ムーブメント、特権エスカレーション、パッケージ&漏洩です。

これらのタグはサンプルであり、Live Connectサーバがコミュニティから受信した入力によって異なります。アナリストは、レビューのフィードバックを提供する時に、適切なリスク指標タグを選択できます。ハイライト表示されたタグは、選択したエンティティがその特定のカテゴリとタグに関連づけられていることを示します。ハイライト表示されているタグをクリックすると、タグの説明が表示されます。

ID

選択したエンティティまたはメタ値の次の識別情報を提供します。

IPアドレスの場合:ASN(自律システム番号)、プレフィックス、国コードと国名、登録者(組織)、日付。

ファイル ハッシュの場合:ファイル名、ファイル サイズ、MD5、SH1、SH256、コンパイル時刻、Mimeタイプ。

ドメインの場合:ドメイン名と関連IPアドレス。

証明書情報

選択したファイル ハッシュに関する証明書情報(証明書発行元、証明書の有効性、署名アルゴリズム、証明書シリアル番号)を提供します。

WHO IS情報

 

WHO IS情報は、特定のドメインの所有権の詳細を提供します。

ドメイン所有者に関する情報(作成日、更新日、期限切れの日付、タイプ(登録タイプ)、名前、組織、郵便番号と住所、国、電話、ファックス、メール)が表示されます。

関連ファイル

関連ファイルはエンティティ タイプがIPおよびドメインの場合に表示されます。既知の関連ファイルのリストが、Live Connectのリスク評価(安全、高リスク、不明)、ファイル名、MD5、コンパイル時刻と日付、API関数、インポート ハッシュ、Mimeタイプとともに表示されます。

関連ドメイン

関連ドメインはエンティティ タイプがIPおよびファイルの場合に表示されます。既知の関連ドメインのリストが、Live Connectのリスク評価(安全、高リスク、不明)、ドメイン名、国名、登録日、期限切れの日付、登録者のメール アドレスとともに表示されます。

関連IP

 

関連IPはエンティティ タイプがドメインおよびファイルの場合に表示されます。既知の関連IPのリストが、Live Connectのリスク評価(安全、高リスク、不明)、IPアドレス、ドメイン名、国コードと国名、国名、登録日、期限切れの日付、登録者のメール アドレスとともに表示されます。

[ファイル レピュテーション]タブ

[ファイル レピュテーション] の [コンテキスト ルックアップ] パネルには、そのファイルのレピュテーションのステータスが表示されます。

                               
フィールド説明
レピュテーション ステータスfilehashのレピュテーション ステータス。レピュテーションのステータスの詳細については、『UEBAユーザ ガイド』の「ファイル レピュテーションの表示」を参照してください。
スキャナー一致最後のスキャンで、マルウェアまたは疑わしいアクティビティを検出したスキャナーの数。
分類プラットフォームプラットフォームに基づき、クエリされたfilehashのクラス分け。たとえば、プラットフォームをWin 32にすることができます。
分類タイプタイプに基づき、クエリされたfilehashのクラス分け。
分類ファミリーマルウェア ファミリー名に基づき、クエリされたfilehashのクラス分け。

 

You are here
Table of Contents > 調査の参考情報 > [コンテキスト ルックアップ]パネル

Attachments

    Outcomes