イベントを期間別にグループ化するだけでなく、次のフィールドでグループ化することもできます。

• タイプ
• デバイス
• ユーザー名
• ローカル IP アドレス
• リモート IP アドレス
• ATT&CK 戦略
• プロセス ハッシュ

グループ化された結果には、10,000 件の結果制限が適用されます。

[表示方法] オプションで、[デフォルト]、[プロセス]、[デバイス]、または [ネットワーク] 別で表示できます。各ビューを構成して、各ビューに表示する列を決定するには、ページの下部にある [テーブルの構成] ボタンをクリックします。

[表示方法] と [グループ化] 機能を使用すると、結果の興味深い組み合わせを行うことができます。たとえば、[表示方法] を使用すると、データに適用する列セットをすばやく変更できます。[ネットワーク別に表示] を選択すると IP アドレス、ポート、およびプロトコルの列が表示されます。その後、[リモート IP アドレスでグループ化] して、各リモート IP アドレスで発生した観測の数を確認できます。また、[プロセス別に表示] と [プロセス ハッシュ別にグループ化] を使用して、環境内で実行されているすべてのアプリケーションを確認することもできます。

次に、[リモート IP アドレス別にグループ化] を追加して、各ソフトウェアまたはマルウェアの変異によって接触されたリモート IP アドレスの数を確認できます。

複数のグループ化を使用すると、複数の範囲にわたるアクティビティの広がりを確認できます。最初に [プロセス] 別、次に [IP アドレス] 別にグループ化すると、どのプロセスがどの IP アドレスに最も頻繁に接触しているかを表示できます。このビューは、特定の IP アドレスに接触しているユーザーを特定するのに役立ちます。

グループ化されたデータはさまざまな方法で表示できます。たとえば、[ネットワーク別に表示] してから [プロセス ハッシュ別にグループ化] して、どのプロセスが最も多くの IP アドレスに接触しているかを確認します。この組み合わせは、ノイズが最も多いプロセスを確認するのに役立ちます。