NSX Intelligence がネットワーク トラフィック フロー データを収集すると、NSX Suspicious Traffic エンジンは、収集されたデータに対してネットワーク脅威分析を生成し、[イベント] 画面を使用して、検出した不審なトラフィック イベントを報告します。不審なトラフィック イベントに関する情報は、バブル チャート、グリッド、またはその両方の形式で表示できます。

前提条件

不審なトラフィック イベントの管理

デフォルトでは、[セキュリティ] > [不審なトラフィック] > [イベント] の順に移動すると、次の図に示すように、バブル チャートとグリッドの両方の形式で不審なトラフィック イベントが表示されます。次の表では、図内で番号の付いているセクションについて説明します。


[不審なトラフィック] ユーザー インターフェイス画面にある [イベント] タブのスクリーンショット。

セクション

説明

1

選択した期間内に NSX Suspicious Traffic 機能が検出した不審なトラフィック イベントの合計数を示します。

2

このセクションでは、NSX Suspicious Traffic が、検出されたイベントに関してどの履歴データをこのユーザー インターフェイス ページで報告するかを決定するためにシステムが使用する期間を選択します。期間は、現在の時間と過去の一定の期間に対応しています。デフォルトの期間は、[過去 1 時間] です。選択した期間を変更するには、現在の期間をクリックして、ドロップダウン メニューから別の期間を選択します。選択可能な期間は、[過去 1 時間][過去 12 時間][過去 24 時間][過去 1 週間][過去 2 週間]、および [過去 1 か月] です。

3

[グラフ] トグルを使用すると、バブル チャートを表示するかどうかを指定できます。[グラフ] トグルがオフの場合は、グリッドにのみ、不審なトラフィック イベントに関する情報が表示されます。デフォルトでは、トグルは [有効] です。

4

NSX Network Detection and Response 機能が有効な場合、NSX Suspicious Traffic ユーザー インターフェイスを表示していると、アプリケーション ランチャ アイコン アプリケーション ランチャ アイコン がユーザー インターフェイスの右上隅に表示されます。

NSX Network Detection and Response ユーザー インターフェイスを使用して検出されたアノマリ イベントの詳細を表示するには、アプリケーション ランチャ アイコン アイコンをクリックし、NSX Network Detection and Response を選択します。NSX Network Detection and Response ユーザー インターフェイスで、アプリケーション ランチャ アイコンをもう一度クリックし、[NSX] を選択して NSX Suspicious Traffic ユーザー インターフェイスに戻ります。

5

このバブル チャートは、選択した期間内に、検出されたイベントがいつ発生したかを視覚的にタイムラインで示します。各イベントは、不審なトラフィック イベントの重要度に基づいてプロットされます。重要度のカテゴリとそれに対応する重要度スコアは次のとおりです。

  • 重大:75 ~ 100

  • 高:50 ~ 74

  • 中:25 ~ 49

  • 低:0 ~ 24

6

フィルタ領域では、選択した期間に表示される不審なトラフィック イベントを絞り込むことができます。[イベントのフィルタリング] をクリックし、適用するフィルタをドロップダウン メニューから選択して、具体的な項目を表示される 2 つ目のドロップダウン メニューから選択します。利用可能なフィルタは次のとおりです。

  • [信頼度スコア] - NSX Suspicious Traffic 機能が使用する独自のアルゴリズムを使用して判明した、イベントがアノマリであることがどれだけ確実であるかの結果に基づいてシステムが割り当てるスコア。

  • [ディテクタ] - ネットワーク トラフィック フロー内のアノマリ イベントを検出するために設計されたセンサー。ディテクタは、単一の MITRE ATT&CK カテゴリまたは方法にマッピングされます。

  • [影響スコア] - 不審なトラフィック イベントの信頼度スコアと重要度の組み合わせを使用する独自のアルゴリズムによって計算されたスコア(正しく検出された場合)。

  • [手段] - 攻撃者がなぜ ATT&CK による手段でアクションを実行したかを示します。

  • [方法] - 攻撃者が、特定の方法またはそれに準じた方法でどのように攻撃の戦術的目標を達成するかを示します。

  • [仮想マシン] - 選択した期間内に発生した検出イベントに関与していた仮想マシン。

7

[凡例] をクリックすると、バブル チャートに表示できるさまざまなタイプのバブルを一覧表示できます。次のリストでは、各バブルと、そのバブルが表す不審なトラフィック イベントのタイプを説明します。

  • パーシステンス - 攻撃者は、ネットワーク内のシステムに居続けようとしています。

  • 認証情報へのアクセス - 攻撃者はアカウント名とパスワードを盗もうとしています。

  • 検出 - 攻撃者がネットワーク環境を知ろうとしています。

  • コマンドとコントロール - 攻撃者は、危険にさらされているシステムと通信し、それらを制御しようとしています。

  • ラテラル ムーブメント - 攻撃者は、ネットワーク環境内を動き回ろうとしています。

  • コレクション - 攻撃者は、自身の最終目的に役立つ情報を収集しようとしています。

  • データ抽出 - 攻撃者は、ネットワークからデータを盗もうとしています。

  • その他 - ディテクタを、MITRE ATT&CK Framework で定義されている特定の手段に関連付けることはできません。

  • 複数のイベント - 同じ時間セグメントの前後で、複数の不審なトラフィック イベントが発生しました。時間枠スライダを右に移動すると、表示されるバブルのタイプの範囲が変わります。そのため、[複数のイベント] バブルは、複数の異なるタイプのバブルに分割できます。複数のイベント バブルをクリックすると、サインポスト内ですべてのイベントのリストが表示されます。サインポストの表にある行をクリックすると、下のグリッドにある関連するバブルの行に移動します。

8

チャート内の各バブルは、選択した期間内に発生した不審なトラフィック イベントまたは複数のイベントを表します。バブルの色またはタイプは、検出された攻撃中に攻撃者が使用した手段を表します。詳細については、[凡例] の説明を参照してください。

9

時間枠スライダを使用すると、選択した期間のサブセット内に発生した不審なトラフィック イベントを表示できます。強調表示された青い領域は、バブル チャートに表示される内容を表します。スライダを右または左にスライドすると、バブル チャートが更新され、スライダで強調表示されている期間中に発生した不審なトラフィック イベントが表示されます。同じ時間に発生した不審なトラフィック イベントがある場合、[複数のイベント] バブルにこれらの不審なトラフィック イベントが示されます。スライダを右に移動すると、[複数のイベント] バブルが、その期間に発生したさまざまな不審なトラフィック イベントを表す複数のバブルに展開されます。

10

グリッドには、選択した期間内に NSX Suspicious Traffic 機能が特定した、それぞれの不審なトラフィック イベントに関する情報が表示されます。展開しない場合、行には次の主要なイベント データが表示されます。

  • [影響] - 六角形の内側に表示される数値は、NSX Suspicious Traffic 機能が不審なトラフィック イベントに対して計算した影響スコアです。影響スコアは、イベントの信頼性(信頼度スコア)と脅威の悪質性(重要度スコア)を組み合わせたものです(正常に検出された場合)。六角形のアイコンをポイントすると、[信頼度スコア] と [重要度スコア] を含むツールチップが表示されます。六角形の色と、六角形の横にあるテキストは、同じ影響スコアの他の 2 つの表現です。影響スコアは次のように定義されます。

    • 影響スコア 75 ~ 100 は、赤い枠で囲まれた六角形と 重大 というテキストで表されます。
    • 影響スコア 50 ~ 74 は、オレンジの枠で囲まれた六角形と というテキストで表されます。
    • 影響スコア 25 ~ 49 は、黄色の枠で囲まれた六角形と というテキストで表されます。
    • 影響スコア 0 ~ 24 は、グレーの枠で囲まれた六角形と というテキストで表されます。

  • [検出時間] - イベントが検出された日時。

  • [ディテクタ] - NSX Suspicious Traffic 機能がイベントの検出に使用したディテクタの名前。ディテクタ名をクリックすると、目標、ATT&CK カテゴリ、ディテクタの要約など、ディテクタに関する追加情報がダイアログ ボックスに表示されます。[ATT&CK カテゴリ] セクションには、不審なトラフィック イベントで使用される、該当する ATT&CK カテゴリの詳細情報が掲載されている MITRE ATT&CK Web サイトへのリンクがあります。

  • [タイプ] - 不審なトラフィック イベントで使用される手段と方法を一覧表示します。

  • [影響を受けるオブジェクト] - 不審なトラフィック イベントに関与するソースの仮想マシンとターゲットの仮想マシンを一覧表示します。

スクリーンショットの例は、展開された行も示しています。展開すると、行には詳しいイベント情報が表示されます。詳細情報には、検出されたイベントのサマリ、可視化した内容の説明、展開された行に表示されるその他のイベント データの説明などが含まれます。たとえば、上記のスクリーンショットでは、展開された行に、検出されたイベントのサマリと、可視化の内容が表示されます。可視化が提供されない不審なトラフィック イベントもあります。そのようなイベントでは、より多くの詳細データのみが提供されます。

11

展開された行では、右下隅に 1 つ以上のリンクが表示される場合もあります。クリックすると、検出されたイベントに関する詳細情報を掲載した別のユーザー インターフェイス ページが表示されます。利用可能なリンクは次のとおりです(不審なトラフィック イベントに該当する場合)。

以下のリンクは、NSX Network Detection and Response 機能が有効でなくても利用できる場合があります。

  • [影響を受ける仮想マシンとその現在のトラフィックを表示] - このリンクをクリックすると、[プランとトラブルシューティング] タブに表示キャンバスが表示されます。不審なトラフィック イベントに関与したコンピュート エンティティが表示されます。詳細についてはNSX Intelligence でのコンピュート ビューの操作を参照してください。

NSX Network Detection and Response アプリケーションが有効な場合は、次のリンクも使用できることがあります(イベントに該当する場合)。

  • [キャンペーン] - NSX Advanced Threat Prevention クラウド サービスがこの不審なトラフィック イベントをキャンペーンの一部と特定した場合は、このリンクが有効になります。リンクをクリックすると、NSX Network Detection and Response ユーザー インターフェイスの [キャンペーン] ページにキャンペーンの詳細が表示されます。詳細については、『NSX 管理ガイド』の「セキュリティ」の章で、「NSX Network Detection and Response」の「キャンペーン ページの管理」を参照してください。VMware NSX ドキュメント セットで、バージョン 3.2 以降の『NSX 管理ガイド』を確認できます。

  • [イベント詳細] - このリンクをクリックすると、新しいブラウザ タブが開き、不審なトラフィック イベントの詳細が NSX Network Detection and Response ユーザー インターフェイスの [イベント プロファイル] 画面に表示されます。詳細については、『NSX 管理ガイド』の「セキュリティ」の章で、「NSX Network Detection and Response」の「[イベント] ページを操作する」を参照してください。VMware NSX ドキュメント セットで、バージョン 3.2 以降の『NSX 管理ガイド』を確認できます。