NSX Network Detection and Response によって検出された脅威は、[ホスト プロファイル] ページの [脅威] タブに脅威カードで表示されます。

脅威カードには、計算された脅威スコア、脅威の名前とクラス、検出結果(使用可能な場合)、脅威の状態、およびその他のアクションが表示されます。使用可能な場合は、この脅威が関連付けられているキャンペーンが表示されます。カードを展開して、関連するエビデンスを表示します。

[並べ替え基準] ドロップダウン メニューを使用して脅威カードを並べ替えます。[最も新しい][最も古い][最も影響が高い](デフォルト)、および [最も影響が低い] から選択できます。

[脅威の検索] テキスト ボックスは、入力と同時に迅速に検索を実行できます。リスト内の行をフィルタリングし、指定したクエリ文字列と一致するテキストを任意のフィールドに含む行のみを表示します。

[クローズした脅威の表示] ボタンを切り替えて、表示される脅威カードを脅威の状態でフィルタリングします。デフォルトでは、すべての脅威が表示されます。

脅威カードの管理

脅威カードには、選択したホストに関連付けられているすべての脅威と、対応する脅威レベルが表示されます。各カードには、計算された脅威の影響、脅威名、脅威クラス、および使用可能な場合は検出結果が表示されます。また、脅威の状態(オープンまたはクローズド)も表示されます。

[次の手順] をクリックし、ドロップダウン メニューからアクションを選択します。

  • 脅威をクローズするには、[クローズ] を選択します。クローズした脅威を再びオープンするには、[オープン] を選択します。

  • [アラートの管理] を選択して、脅威からアラート管理ルールを作成します。

[エビデンスのサマリ] セクションには、エビデンスの概要と、脅威について検出されたその他のデータが表示されます。右山括弧 をクリックするか、カード内の任意の場所をクリックして、エビデンスの詳細を展開します。

この脅威に関連するキャンペーン データが利用可能な場合は、[キャンペーン][キャンペーン サマリ サイドバー] へのリンクとともに表示されます。

エビデンスの詳細

[エビデンス] 列には、ファイル ダウンロード、署名、およびその他のカテゴリのエビデンス タイプと、エビデンスが検出されたときのタイムスタンプが表示されます。エビデンス タイプのリンクをクリックすると、そのタイプの対応する [エビデンスのサマリ] サイドバーがページの右側に表示されます。[エビデンスのサマリ] サイドバーは、次のエビデンス タイプで使用できます。

  • アノマリ

  • ファイル ダウンロード

  • 署名

[ネットワーク相互作用とネットワーク IOC] 列には、外部ホストの IP アドレスまたはドメイン名が表示されます。リンクをクリックすると、[ネットワーク相互作用] サイドバーが展開されます。

[サポート データ] 列には、検出イベントへのリンクと脅威の詳細へのリンクが表示されます。

検出結果

脅威の検出イベントの結果には、重要度順に次の値が表示されます。

検出結果

説明

成功

脅威が目標に到達したことを確認しました。これは、C&C サーバへのチェックインの試行が完了し、悪意のあるエンドポイントからデータを受信した可能性があることを示します。

失敗

脅威が目標に到達できませんでした。これは、C&C サーバがオフラインであること、攻撃者がコーディング エラーを発生させたなどの原因で発生する可能性があります。

ブロック

脅威は、NSX Network Detection and Response アプリケーションまたはサードパーティ製アプリケーションによってブロックされました。

イベントの結果が不明な場合、このフィールドは表示されません。

ネットワーク相互作用サイドバー

[脅威] タブの [ネットワーク相互作用とネットワーク IOC] 列で特定のホストの IP アドレスまたはドメイン名のリンクをクリックして、[ネットワーク相互作用] サイドバーを展開します。

選択したホストの影響と IP アドレスがサイドバーの上部に表示されます。

WHOIS サマリ

[WHOIS サマリ] セクションには、選択した IP アドレスまたはドメイン名の WHOIS レコードのキー フィールドが表示されます。whois アイコン アイコンをクリックして、[WHOIS ポップアップ] ウィンドウを開き、IP アドレスまたはドメインの詳細を表示します。詳細については、WHOIS ポップアップ ウィンドウを参照してください。

開く

[開く...] セクションには、DomainToolsVirusTotalGoogle などのサードパーティ プロバイダへのリンクが含まれています。ビューに収まる以上のプロバイダがある場合は、[展開してさらに表示 下山括弧] をクリックして表示できます。

アノマリの [エビデンスのサマリ] サイドバー

[脅威] タブの [エビデンス] 列で [アノマリ] のエビデンス リンクをクリックすると、[アノマリ] のエビデンス タイプの [エビデンスのサマリ] サイドバーが表示されます。

[参照イベント 右山括弧] をクリックすると、[イベント プロファイル] ページおよび関連付けられたイベントの完全な詳細情報にアクセスできます。

エビデンスの簡単な説明が提供されます。

脅威の詳細

脅威に関する次の詳細が提供されます。
  • 脅威 – 検出されたセキュリティ リスクの名前。
  • 脅威クラス – 検出されたセキュリティ リスク クラスの名前。
  • 最初の検出 アレイの双方向矢印アイコン 最後の検出 – エビデンスが最初に検出されたときと最後に検出されたときのタイムスタンプを含むグラフ。期間はグラフの下に表示されます。

ディテクタのサマリ

ディテクタのサマリが表示されます。詳細については、 [詳細 右山括弧] リンクをクリックして、 [ディテクタ ポップアップ] ウィンドウを表示します。詳細については、 [ディテクタのドキュメント] ポップアップ ウィンドウを参照してください。
  • ディテクタ名 - ディテクタの名前。
  • 目標 – ディテクタの目標の簡単な説明。
  • ATT&CK 分類 – 必要に応じて、MITRE ATT&CK 方法へのリンクが提供されます。それ以外の場合は、該当なし が表示されます。

アノマリの詳細

アノマリの詳細が表示されます。
詳細 説明
説明

ベースラインの動作からどの程度逸脱しているか、または疑わしいとみなすべき理由を詳しく説明した、アノマリの簡単な説明。
状態タイプ

アノマリのタイプ。たとえば 外れ値 などです。
アノマリ

ホストで検出したアノマリな項目。たとえば、通常とは異なるポートへのアクセスなどです。
ベースライン項目

このホストで通常観察される項目。
プロファイルの作成時刻

ベースライン作成時のタイムスタンプ。
プロファイルの更新時刻

アノマリ検出時のタイムスタンプ。
外れ値の図

この図は、アノマリとしてフラグ付けされたデータ転送と比較するための、ホストに対する通常のデータのアップロードとダウンロードを示します。ディテクタによっては、次のデータが表示される場合があります。

  • アノマリ アラートがトリガされる原因となったアップロードおよびダウンロードのサイズ。

  • アノマリ アラートがトリガされるまでに許容されるアップロードおよびダウンロードの最大サイズ。

  • ホストに対するアップロードおよびダウンロードの平均サイズ。

ファイル ダウンロードの [エビデンスのサマリ] サイドバー

[脅威] 列で [ファイル ダウンロード] のエビデンス リンクをクリックすると、[ファイル ダウンロード] のエビデンス タイプの [エビデンスのサマリ] サイドバーが表示されます。

[参照イベント 右山括弧] をクリックすると、[イベント プロファイル] ページおよび関連付けられたイベントの完全な詳細情報にアクセスできます。

エビデンスの簡単な説明が提供されます。

ファイルの詳細

ファイルに関する次の詳細が表示されます。
  • ファイル タイプ - ダウンロードされたファイルの上位レベルのタイプ。ファイル タイプのリストについては、[一意] タブを参照してください。
  • 信頼性 – ダウンロードされたファイルが、実際にどの程度悪意があるものかを示します。システムは高度なヒューリスティックを使用して未知の脅威を検出するため、見つかった特定の脅威に関する情報量がわずかであれば、その脅威の信頼性の値は低くなります。
  • SHA1 – ファイルの SHA1 ハッシュ。

マルウェアの特定

検出されたマルウェアのサマリが表示されます。詳細については、 [アナリスト レポート右山括弧] リンクをクリックして分析レポートを表示します。詳細については、 分析レポートを使用するを参照してください。
  • アンチウイルス クラス - ダウンロードしたファイルのアンチウイルス クラスを定義するラベル。
  • アンチウイルス ファミリ - ダウンロードしたファイルのアンチウイルス ファミリを定義するラベル。
  • マルウェア – ダウンロードしたファイルのマルウェア タイプを定義するラベル。ラベルに タグ アイコン アイコンがある場合、アイコンをクリックすると、ポップアップ ウィンドウに説明が表示されます。
  • 動作の概要 – ダウンロードしたファイルで検出された動作。大量のデータがある場合、デフォルトではリストが部分的にしか表示されません。詳細を表示するには、[展開して詳細を表示 下山括弧アイコン] をクリックします。もう一度折りたたむには、[折りたたんで少なく表示 上山括弧アイコン] をクリックします。

開く

ダウンロードしたファイルを特定のサービスで開くには、プロバイダのアイコンのいずれかをクリックします。デフォルトでは、プロバイダの一部が表示されます。

ダウンロードの詳細

ダウンロードされたファイルの詳細が表示されます。詳細については、 [アナリスト レポート 右山括弧アイコン] リンクをクリックして分析レポートを表示します。詳細については、 分析レポートを使用するを参照してください。
情報 説明
ファイル名 ダウンロードしたファイルへのリソース パス。
URL

ダウンロードしたファイルの完全な URL。
最初の検出

ダウンロードしたファイルが最初に表示されたときのタイムスタンプ。このファイルのインスタンスが複数ある場合、これはタイムスタンプの範囲になります。
ダウンロード元

ソース サーバの IP アドレス。
プロトコル

ダウンロードしたファイルをソース サーバから転送するために使用されたプロトコル。
ユーザー エージェント

ダウンロード要求に対して見つかったユーザー エージェント文字列(利用可能な場合)。

署名の [エビデンスのサマリ] サイドバー

[脅威] タブの [エビデンス] 列で [署名] のエビデンス リンクをクリックすると、[署名] のエビデンス タイプの [エビデンスのサマリ] サイドバーが表示されます。

[参照イベント 右山括弧] をクリックすると、[イベント プロファイル] ページおよび関連付けられたイベントの完全な詳細情報にアクセスできます。

エビデンスの簡単な説明が提供されます。

脅威の詳細

脅威に関して、次の詳細が表示されます。

詳細

説明

脅威

検出されたセキュリティ リスクの名前。

脅威クラス

検出されたセキュリティ リスク クラスの名前。

アクティビティ

検出された脅威の現在のアクティビティがある場合、表示されます。

信頼性

検出された脅威が悪意のあるものである可能性を示します。

ファイルのダウンロードなど、分析結果を示すイベントの場合は、スコアが表示されます。

最初の検出

アレイの双方向矢印アイコン

最後の検出

エビデンスが最初に検出されたときと最後に検出されたときのタイムスタンプを含むグラフ。

期間はグラフの下に表示されます。

トラフィックの詳細

[参照イベント トラフィック] ウィジェットには、参照イベントに関与するホスト間で観察されたトラフィックの概要が表示されます。イベントに関与するホストのうち、1 台以上がモニター対象ホストです。通信ホストは、モニター対象ホストまたは外部システムとなります。

矢印は、ホスト間のトラフィックの方向を示します。

ホストごとに、IP アドレスが表示されます。ホストがローカルの場合、アドレスはリンクであり、クリックすると [ホスト プロファイル] ページが表示されます。地理的な位置を示すフラグ、ホーム アイコン、または ネットワーク アイコン が表示される場合もあります。複数表示されることがあります。ホスト名も表示されます(利用可能な場合)。ホストに適用されたすべてのホスト タグが表示されます。globe-americas のアイコン アイコンがある場合、クリックすると、ホストの詳細が [WHOIS] ポップアップ ウィンドウに表示されます。詳細については、WHOIS ポップアップ ウィンドウを参照してください。

ディテクタのサマリ

ディテクタのサマリが表示されます。詳細については、[詳細 右山括弧] リンクをクリックして、[ディテクタ ポップアップ] ウィンドウを表示します。詳細については、[ディテクタのドキュメント] ポップアップ ウィンドウを参照してください。

  • ディテクタ名 - ディテクタの名前。

  • 目標 – ディテクタの目標の簡単な説明。

  • IDS ルール – [ルールを表示する] リンク(ある場合)をクリックして、[ディテクタ ポップアップ] ウィンドウを表示します。詳細については、[ディテクタのドキュメント] ポップアップ ウィンドウを参照してください。IDS ルールを含んでいることがあります。