Security Analytics Investigationの[マルウェア]ビューは、マルウェア解析を行うためのユーザー インターフェイスを提供します。[Malware Analysis]ビューは、カスタマイズ可能なダッシュボード形式になっており、最初に表示されるデフォルトのダッシュボードは、ユーザーのロール(管理またはアナリスト)とユーザーが行ったカスタマイズに基づいて設定されます。[Malware Analysis]ビューにアクセスすると、最初に[イベントのサマリー]ダッシュレットが表示されます。これ以外の追加のダッシュレットとして、イベントのさまざまなビューを表示できます。各ビューを構成して、セキュリティ侵害インジケータを検索する際の表示をさらに調整することもできます。Security Analyticsダッシュボードで使用できるMalware Analysisダッシュレットは、[Malware Analysis]ビューでも使用できます。
このビューにアクセスするには、次の手順を実行します。
- Security Analyticsメニューで、[Investigation]>[Malware Analysis]を選択します。
デフォルトのサービスが選択されていない場合は、[Malware Analysisサービスの選択]ダイアログが表示されます。 - サービスを選択して、[常時スキャン モードの表示]をクリックします。
[Malware Analysis]ビューが表示されます。
機能
[Malware Analysis]ビューは、[イベントのサマリー]パネルに加え、このビューに固有の4つのダッシュレットから構成されます。どのダッシュレットにも同じ[オプション]ダイアログが備わっています。Security AnalyticsダッシュボードのMalware Analysisダッシュレットも使用できます。これらのダッシュレットについては、「Security Analyticsのダッシュレット」で説明します。
[イベントのサマリー]パネル
[イベントのサマリー]パネルでは、サービス、スキャン モード、時間範囲を選択できます。また、データ ポイントを選択して、それに関連づけられたイベントを表示することもできます。
次の表に、[イベントのサマリー]パネルのすべての機能とその説明を示します。
| 機能 | 説明 |
|---|---|
 | 表示するサービスを選択します。 |
| スキャン モード | 使用可能なスキャン モードのドロップダウン リストを表示します。 |
| 時間範囲 | イベントを表示する時間範囲のドロップダウン リストを表示します。 |
| 開始日 | [時間範囲]が「カスタム」に設定されている場合に、時間範囲の開始日を選択するためのカレンダーを表示します。 |
| 終了日 | [時間範囲]が「カスタム」に設定されている場合に、時間範囲の終了日を選択するためのカレンダーを表示します。 |
 | ビューに追加できるダッシュレットのドロップダウン リストを表示します。 |
 | このビューで実行できるアクションのドロップダウン リストを表示します。
|
 | [Malware Analysis]ビューの表示を更新します。 |
[オプション]ダイアログ
[オプション]ダイアログでは、ダッシュレットに表示する結果をカスタマイズできます。このダイアログにアクセスするには、各ダッシュレットの右上隅の
| 機能 | 説明 |
|---|---|
| タイトル | 表示されたデータが高確率フラグの付いたイベントに制限されているかどうかを示します。データが制限されていない場合、この行は表示されません。 |
| 高確率フラグのみ | 表示されたデータが高確率フラグの付いたイベントに制限されていることを示します。 |
| 静的、ネットワーク、コミュニティ、サンドボックス | スコア モジュールのスコアに基づいて結果をフィルタできます。 |
| キャンセル | 変更を保存せずにダイアログを閉じます。 |
| 適用 | ダッシュレットに変更をただちに適用して、ダイアログを閉じます。 |
メタの内訳
メタの内訳には、円グラフ形式でイベントが表示されます。各スライスは、指定されたメタ キーのメタ値を表します。チャートにレンダリングするメタ キーとそのキーのメタ値の数を選択できます。イベント数が一番多いメタ値から始まります。スライスの上にマウス ポインタを移動すると、イベント数が表示されます。
次の表に、[メタの内訳]ダッシュレットのオプションとその説明を示します。
| 機能 | 説明 |
|---|---|
| 高確率のみ | 表示されたデータが高確率フラグの付いたイベントに制限されているかどうかを示します。データが制限されていない場合、この行は表示されません。 |
| メタ キー | 使用可能なメタ キーのドロップダウン リスト。 |
| 件数 | 上位何件の結果を表示するかを指定するドロップダウン リスト。 |
メタ ツリーマップ
メタ ツリーマップには、ヒート マップ形式でイベントが表示されます。チャートにレンダリングするメタ キーとそのキーのメタ値の数を選択できます。イベント数が一番多いメタ値から始まります。さらに、イベントのメタ値を検出したモジュール(静的、ネットワーク、コミュニティ、サンドボックス)を選択することもできます。
次の表に、[メタ ツリーマップ]ダッシュレットのオプションとその説明を示します。
| 機能 | 説明 |
|---|---|
| 高確率のみ | 結果が高確率フラグの付いたイベントに制限されているかどうかを示します。結果が制限されていない場合、この行は表示されません。 |
| メタ キー | フィルターとして選択できるメタ キーのドロップダウン リスト。 |
| 件数 | 上位何件の結果を表示するかを指定するドロップダウン リスト。 |
| モジュール | どのモジュールから結果を取得するかを指定するドロップダウン リスト。 |
| 値 | 結果の上にカーソルを置いたときに表示される情報を指定するドロップダウン リスト(平均スコアなど)。 |
スコア ホイール
スコア ホイールには、イベントが同心円のリングとして表示されます。色は、セキュリティ侵害インジケータおよびスコア モジュールに基づいたイベントのスコアを表します。上下の矢印を使用してリングの位置を変更して、あるスコア モジュールで検出(赤で表示)されたイベントで、他のスコア モジュールでは検出されなかったイベントを強調して表示することができます。
次の表に、[スコア ホイール]ダッシュレットの機能とその説明を示します。
| 機能 | 説明 |
|---|---|
| 高確率のみ | 結果が高確率フラグの付いたイベントに制限されているかどうかを示します。結果が制限されていない場合、この行は表示されません。 |
| モジュールの順序グリッド | スコア ホイールにおけるリングの順序を表示します。リング1は最も内側のリング、リング4は最も外側のリングです。[上へ]ボタンと[下へ]ボタンをクリックしてモジュールの順序を変更し、[更新]をクリックして変更を適用できます。 |
イベント タイムライン
イベント タイムラインでは、発生時刻順に並べられたイベントが棒グラフに表示されます。クリックしてドラッグすることによってグラフ内の時間範囲を選択すると、その時間範囲が拡大されます。
次の表に、[イベント タイムライン]ダッシュレットの機能とその説明を示します。
| 機能 | 説明 |
|---|---|
| 高確率のみ | 結果が高確率フラグの付いたイベントに制限されているかどうかを示します。結果が制限されていない場合、この行は表示されません。 |
| イベントの表示 | [Investigation]>[イベント]ビューが表示されます。 |
