Warehouse Analytics:Suspicious DNS Activity(不審なDNSアクティビティ)レポートの分析

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Suspicious DNS Activity(不審なDNSアクティビティ)レポートについて説明します。次の図は、すべての不審なドメインおよびそれぞれのリスク スコアを表示するSuspicious DNS Activity(不審なDNSアクティビティ) レポートを示しています。

次の図は、このビューの各パネルを示しています。

WA_SuspiciousDNSActivity_report1.png

はじめに

Suspicious DNS Activity(不審なDNSアクティビティ)レポートは次のパネルで構成されています。

  • ドメイン見出し
  • ドメイン フィールド
  • ドメイン ヒストグラム

[ドメイン見出し]パネル

[ドメイン見出し]パネルでは、リスク スコア、ドメイン名(たとえば、bitminter.com)、レポートの生成日時、レポート実行の開始日と終了日を表示できます。

注:リスク スコアが50以上の場合、赤色で表示され、それ以外の場合は緑色で表示されます。

WA_SuspiciousDNSActivity_header.png

[ドメイン フィールド]パネル

[ドメイン フィールド]パネルには、Mongo DBデータベースから次のフィールドが表示されます。

domain_fields_panel.png

注:[ドメイン フィールド]パネルに入力されたすべてのフィールドには、ランタイムを元に表示された値があります。

                                                     
フィールド説明
Security Analytics AlertsレスポンスごとのSecurity Analyticsのアラートの数。
IP Repetitionドメイン内のIPの総数で分割されたIPと日付の一意のペア数です。
Raw ScoreRawスコアです。
Number of Responses(リクエストが無視された)DNSレスポンスの数です。
Median Root on IP返されたIPごとの一意のルート数の中央値です。
ASN Repetitionドメイン上で確認される全IPから日単位で確認されるASNの割合です。
Number of IPsIPの総数です。
Median ASNs per Resp.レスポンスごとのASNの数の中央値です。
Total ASNsASNの総数です。
IP User MedianドメインIP全体の内部IPの中央値です。
Number of Internal IPsドメインをアドレス指定したソースIPアドレスの数です。

[ドメイン ヒストグラム]パネル

[ドメイン ヒストグラム]パネルには、疑わしいASNまたは国を濃い青色で表す縦方向のヒストグラムが表示されます。

縦方向のヒストグラム

domain_histograms_panel.png

Suspicious DNS Activity(不審なDNSアクティビティ)レポートの表示

Suspicious DNS Activity(不審なDNSアクティビティ)レポートを表示するには、次の手順を実行します。

  1. Security Analyticsメニューで、[レポート]をクリックします。

    [管理]タブが表示されます。

  2. Warehouse Analytics]をクリックします。

    [Warehouse Analytics]ビューが表示されます。

    Deploy_screen.png

  3. Warehouse Analyticsツールバーで、[すべてのジョブの表示]をクリックします。

    ジョブとそのスケジュール名、時刻のリストが[表示]タブに表示されます。

    注:リストが表示されない場合、カレンダーから日付を選択してジョブのリストを表示します。 

  4. Suspicious DNS Activity(不審なDNSアクティビティ)モデルの実行履歴をダブル クリックします。 
    Suspicious DNS Activity(不審なDNSアクティビティ)レポートが表示されます。

次のステップ 

次のタスクを実行します。[調査]ボタンをクリックして、Suspicious DNS Activity(不審なDNSアクティビティ)を確認します。

You are here
Table of Contents > 必要な手順 > ステップ4:Warehouse Analyticsレポートの分析 > Suspicious DNS Activity(不審なDNSアクティビティレポートの分析

Attachments

    Outcomes