Investigation: [Malware Analysis]ビュー

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

Security Analytics Investigationの[マルウェア]ビューは、マルウェア解析を行うためのユーザー インターフェイスを提供します。[Malware Analysis]ビューは、カスタマイズ可能なダッシュボード形式になっており、最初に表示されるデフォルトのダッシュボードは、ユーザーのロール(管理またはアナリスト)とユーザーが行ったカスタマイズに基づいて設定されます。[Malware Analysis]ビューにアクセスすると、最初に[イベントのサマリー]ダッシュレットが表示されます。これ以外の追加のダッシュレットとして、イベントのさまざまなビューを表示できます。各ビューを構成して、セキュリティ侵害インジケータを検索する際の表示をさらに調整することもできます。Security Analyticsダッシュボードで使用できるMalware Analysisダッシュレットは、[Malware Analysis]ビューでも使用できます。

このビューにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[Malware Analysis]を選択します。
    デフォルトのサービスが選択されていない場合は、[Malware Analysisサービスの選択]ダイアログが表示されます。
  2. サービスを選択して、[常時スキャン モードの表示]をクリックします。
    [Malware Analysis]ビューが表示されます。

MwSumVw.png

機能

[Malware Analysis]ビューは、[イベントのサマリー]パネルに加え、このビューに固有の4つのダッシュレットから構成されます。どのダッシュレットにも同じ[オプション]ダイアログが備わっています。Security AnalyticsダッシュボードのMalware Analysisダッシュレットも使用できます。これらのダッシュレットについては、「Security Analyticsのダッシュレット」で説明します。

[イベントのサマリー]パネル

[イベントのサマリー]パネルでは、サービス、スキャン モード、時間範囲を選択できます。また、データ ポイントを選択して、それに関連づけられたイベントを表示することもできます。

次の表に、[イベントのサマリー]パネルのすべての機能とその説明を示します。

                                         
機能説明
ServIcon.png 表示するサービスを選択します。
スキャン モード使用可能なスキャン モードのドロップダウン リストを表示します。
時間範囲イベントを表示する時間範囲のドロップダウン リストを表示します。
開始日[時間範囲]が「カスタム」に設定されている場合に、時間範囲の開始日を選択するためのカレンダーを表示します。
終了日[時間範囲]が「カスタム」に設定されている場合に、時間範囲の終了日を選択するためのカレンダーを表示します。
[追加]アイコン ビューに追加できるダッシュレットのドロップダウン リストを表示します。
actions_button.png このビューで実行できるアクションのドロップダウン リストを表示します。
  • デフォルトの構成をリストア
  • ダッシュレットの整列
  • 閾値フィルタの適用
Refresh_Icon.png [Malware Analysis]ビューの表示を更新します。

[オプション]ダイアログ

[オプション]ダイアログでは、ダッシュレットに表示する結果をカスタマイズできます。このダイアログにアクセスするには、各ダッシュレットの右上隅のproperties icon.pngアイコンをクリックします。次の表では、[オプション]ダイアログの機能について説明します。

                                
機能説明
タイトル表示されたデータが高確率フラグの付いたイベントに制限されているかどうかを示します。データが制限されていない場合、この行は表示されません。
高確率フラグのみ表示されたデータが高確率フラグの付いたイベントに制限されていることを示します。
静的、ネットワーク、コミュニティ、サンドボックススコア モジュールのスコアに基づいて結果をフィルタできます。
キャンセル変更を保存せずにダイアログを閉じます。
適用ダッシュレットに変更をただちに適用して、ダイアログを閉じます。

メタの内訳

メタの内訳には、円グラフ形式でイベントが表示されます。各スライスは、指定されたメタ キーのメタ値を表します。チャートにレンダリングするメタ キーとそのキーのメタ値の数を選択できます。イベント数が一番多いメタ値から始まります。スライスの上にマウス ポインタを移動すると、イベント数が表示されます。

MWAMetaBD.png

次の表に、[メタの内訳]ダッシュレットのオプションとその説明を示します。

                       
機能説明
高確率のみ表示されたデータが高確率フラグの付いたイベントに制限されているかどうかを示します。データが制限されていない場合、この行は表示されません。
メタ キー 使用可能なメタ キーのドロップダウン リスト。
件数上位何件の結果を表示するかを指定するドロップダウン リスト。 

メタ ツリーマップ

メタ ツリーマップには、ヒート マップ形式でイベントが表示されます。チャートにレンダリングするメタ キーとそのキーのメタ値の数を選択できます。イベント数が一番多いメタ値から始まります。さらに、イベントのメタ値を検出したモジュール(静的、ネットワーク、コミュニティ、サンドボックス)を選択することもできます。

MWAMetaTM.png

次の表に、[メタ ツリーマップ]ダッシュレットのオプションとその説明を示します。

                               
機能説明
高確率のみ結果が高確率フラグの付いたイベントに制限されているかどうかを示します。結果が制限されていない場合、この行は表示されません。
メタ キーフィルターとして選択できるメタ キーのドロップダウン リスト。
件数上位何件の結果を表示するかを指定するドロップダウン リスト。
モジュールどのモジュールから結果を取得するかを指定するドロップダウン リスト。
結果の上にカーソルを置いたときに表示される情報を指定するドロップダウン リスト(平均スコアなど)。

スコア ホイール

スコア ホイールには、イベントが同心円のリングとして表示されます。色は、セキュリティ侵害インジケータおよびスコア モジュールに基づいたイベントのスコアを表します。上下の矢印を使用してリングの位置を変更して、あるスコア モジュールで検出(赤で表示)されたイベントで、他のスコア モジュールでは検出されなかったイベントを強調して表示することができます。

MWAScrWhl.png

次の表に、[スコア ホイール]ダッシュレットの機能とその説明を示します。

                   
機能説明
高確率のみ結果が高確率フラグの付いたイベントに制限されているかどうかを示します。結果が制限されていない場合、この行は表示されません。
モジュールの順序グリッドスコア ホイールにおけるリングの順序を表示します。リング1は最も内側のリング、リング4は最も外側のリングです。[上へ]ボタンと[下へ]ボタンをクリックしてモジュールの順序を変更し、[更新]をクリックして変更を適用できます。

イベント タイムライン

イベント タイムラインでは、発生時刻順に並べられたイベントが棒グラフに表示されます。クリックしてドラッグすることによってグラフ内の時間範囲を選択すると、その時間範囲が拡大されます。

MWAEvTL.png

次の表に、[イベント タイムライン]ダッシュレットの機能とその説明を示します。

                   
機能説明
高確率のみ結果が高確率フラグの付いたイベントに制限されているかどうかを示します。結果が制限されていない場合、この行は表示されません。
イベントの表示[Investigation]>[イベント]ビューが表示されます。
You are here
Table of Contents > Investigationの参考資料 > [Malware Analysis]ビュー

Attachments

    Outcomes