このトピックでは、Suspicious DNS Activity(不審なDNSアクティビティ)レポートについて説明します。次の図は、すべての不審なドメインおよびそれぞれのリスク スコアを表示するSuspicious DNS Activity(不審なDNSアクティビティ) レポートを示しています。
次の図は、このビューの各パネルを示しています。
はじめに
Suspicious DNS Activity(不審なDNSアクティビティ)レポートは次のパネルで構成されています。
- ドメイン見出し
- ドメイン フィールド
- ドメイン ヒストグラム
[ドメイン見出し]パネル
[ドメイン見出し]パネルでは、リスク スコア、ドメイン名(たとえば、bitminter.com)、レポートの生成日時、レポート実行の開始日と終了日を表示できます。
注:リスク スコアが50以上の場合、赤色で表示され、それ以外の場合は緑色で表示されます。
[ドメイン フィールド]パネル
[ドメイン フィールド]パネルには、Mongo DBデータベースから次のフィールドが表示されます。
注:[ドメイン フィールド]パネルに入力されたすべてのフィールドには、ランタイムを元に表示された値があります。
| フィールド | 説明 |
|---|---|
| Security Analytics Alerts | レスポンスごとのSecurity Analyticsのアラートの数。 |
| IP Repetition | ドメイン内のIPの総数で分割されたIPと日付の一意のペア数です。 |
| Raw Score | Rawスコアです。 |
| Number of Responses | (リクエストが無視された)DNSレスポンスの数です。 |
| Median Root on IP | 返されたIPごとの一意のルート数の中央値です。 |
| ASN Repetition | ドメイン上で確認される全IPから日単位で確認されるASNの割合です。 |
| Number of IPs | IPの総数です。 |
| Median ASNs per Resp. | レスポンスごとのASNの数の中央値です。 |
| Total ASNs | ASNの総数です。 |
| IP User Median | ドメインIP全体の内部IPの中央値です。 |
| Number of Internal IPs | ドメインをアドレス指定したソースIPアドレスの数です。 |
[ドメイン ヒストグラム]パネル
[ドメイン ヒストグラム]パネルには、疑わしいASNまたは国を濃い青色で表す縦方向のヒストグラムが表示されます。
縦方向のヒストグラム
Suspicious DNS Activity(不審なDNSアクティビティ)レポートの表示
Suspicious DNS Activity(不審なDNSアクティビティ)レポートを表示するには、次の手順を実行します。
-
Security Analyticsメニューで、[レポート]をクリックします。
[管理]タブが表示されます。
-
[Warehouse Analytics]をクリックします。
[Warehouse Analytics]ビューが表示されます。
-
Warehouse Analyticsツールバーで、[すべてのジョブの表示]をクリックします。
ジョブとそのスケジュール名、時刻のリストが[表示]タブに表示されます。
注:リストが表示されない場合、カレンダーから日付を選択してジョブのリストを表示します。
- Suspicious DNS Activity(不審なDNSアクティビティ)モデルの実行履歴をダブル クリックします。
Suspicious DNS Activity(不審なDNSアクティビティ)レポートが表示されます。
次のステップ
次のタスクを実行します。[調査]ボタンをクリックして、Suspicious DNS Activity(不審なDNSアクティビティ)を確認します。
