[キャンペーンの詳細] ページの [概要] タブには、キャンペーンのサマリとインタラクティブかつグラフィカルなブループリントが表示されます。

次の情報は、このタブの 3 つのセクションについて説明しています。

キャンペーンの脅威およびホスト

[脅威およびホスト] セクションには、[脅威] および [ホスト] ウィジェットが表示されます。

[脅威] ウィジェットには、選択したキャンペーンで NSX Network Detection and Response アプリケーションが検出した最新の脅威が表示されます。脅威の重要度は、色コード(高は赤、中は黄色、低は青)で示されます。リストされた脅威の名前をポイントすると、影響を受けたホストの IP アドレスがポップアップ ウィンドウに表示されます。[脅威の詳細の表示] をクリックすると、キャンペーンに関する詳細情報が [タイムライン] タブに表示されます。

[ホスト] ウィジェットには、選択したキャンペーンの影響を受けたホストが表示されます。脅威の重要度は、色コード(高は赤、中は黄色、低は青)で示されます。

影響を受けたホストの IP アドレスをポイントすると、ホストに影響する脅威の名前がポップアップ ウィンドウに表示されます。[ホストの詳細の表示] をクリックすると、ホストに関する詳細情報が [ホスト] タブに表示されます。

キャンペーンの攻撃ステージ

[攻撃ステージ] ウィジェットには攻撃ステージが表示され、現在のキャンペーン攻撃ステージが強調表示されます。強調表示されたアクティビティをポイントすると、攻撃ステージに関する詳細情報がポップアップ ウィンドウに表示されます。攻撃ステージの詳細については、キャンペーンのプロパティを参照してください。

キャンペーン ブループリント

[キャンペーン ブループリント] ウィジェットは、キャンペーンをインタラクティブかつグラフィカルに表示します。キャンペーンに参加しているホスト(ネットワーク内外)、これらに影響を与えた脅威のほか、キャンペーンを説明する追加情報が表示されます。

次に示すのは、ブループリント グラフの例です。
周囲の内容で説明している侵入グラフのサンプル

このブループリント グラフは、次のアクティビティを示しています。

  • 悪意のあるバイナリ ファイルが、172.30.4.99 というラベルのホスト ノードにダウンロードされます。このアクティビティに当てはまるのは、E メールを開いたそのホスト上のユーザーです(E メール内の URL にアクセスする、E メールに含まれる添付ファイルを開くなど)。

  • 172.30.4.99 というラベルのホスト ノードは、kharkiv.biz.ua というラベルのホスト名ノードに接続されています。分析レポート 3958ec33 は、ダウンロードが URL http://kharkiv.biz.ua/hPpD/ から行われたことを示しています。また、分析レポートは、ダウンロードされたファイルが PE 実行可能アプリケーション、32 ビット、Intel i386 のファイルであることも示しています。

  • 172.30.4.99 というラベルのホスト ノードは Emotet command and control に接続されています。サーバは、ブロックされたエントリ 75.112.62.42 です。

  • 172.30.4.99 というラベルのホスト ノードは、不審なデータ アップロードがある 172.30.6.2 というラベルのホスト ノードに接続され、不審なリモート タスク スケジュールがある 172.30.5.200 および 172.30.5.200 というラベルのホスト ノードに接続されています。すべてのアクティビティはラテラル ムーブメントに関連しています。

  • 172.30.6.2 というラベルのホスト ノードは、不審な Kerberos 暗号化がある 172.30.5.200 というラベルのホスト ノードに接続されています。これは、データ抽出に相当するアクティビティです。

ノード キー

次のノード タイプがブループリント グラフに表示されます。

アイコン

ノード タイプ

説明

分析アイコン

分析レポート

このノード タイプは、NSX Network Detection and Response サンドボックスでサンプル(ファイルまたは URL)をデトネーションした結果を表します。

  • 分析レポート ノードには、対応する分析タスク UUID の短縮バージョンがラベル付けされます。

  • 分析実行のスコア範囲は、ノードの右上にある色分けされたバッジを使用して表されます。
ダウンロード済みファイル アイコン

ダウンロードしたファイル

このノード タイプは、ネットワークにダウンロードされたファイルを表します。

  • ダウンロードしたファイル ノードには、対応するファイルの SHA1 ハッシュの短縮バージョンがラベル付けされます。
ホスト アイコン

ホスト

このノード タイプはネットワーク デバイスを表します。

  • ホスト ノードには、対応するホストの IP アドレスがラベル付けされます。

  • ホスト ノードは、ホストが内部か外部かを示します。内部ホストの IP アドレスの横に ホーム アイコン アイコンが表示されます。ホストが内部であるかどうかの決定は、プライベート IP アドレス範囲の構成に基づいています。

  • 対応するホストに影響するインシデントの最大の影響は、ノードの右上にある色分けされたバッジを使用して表されます。
情報アイコン

情報

このノード タイプは、情報レベルのアクティビティの検出を表します。このノードは、ネットワーク分析 ブループリント グラフにのみ表示されます。

  • 情報イベントは、必ずしも悪意のあるものではなく、追加の有用な情報を提供するアクティビティまたは動作が存在する場合に作成されます。

  • 対応する脅威に対して検出されたイベントの最大の影響は、ノードの右上にある色分けされたバッジを使用して表されます。
脅威アイコン

脅威

このノード タイプは検出を表します。

  • 脅威ノードには、検出されたイベントに関連付けられた脅威名がラベル付けされます。

  • 対応する脅威に対して検出されたイベントの最大の影響は、ノードの右上にある色分けされたバッジを使用して表されます。

Edge について

ノードを接続する線は、Edge といいます。

ホスト ノードが脅威または分析のレポート ノードに点線で接続されていると、ホスト ノードに対応するホストが脅威または分析のレポート ノードで表される脅威にさらされたことを示します。

それ以外の接続は実線で表され、何らかのアクティビティ(ネットワーク接続、DNS ルックアップ、Web 要求など)で 2 つのノードに対応するエンティティ同士が関連していることを表現しています。

ブループリントの相互作用

ブループリント グラフはインタラクティブで、項目の選択、ノードの移動、ズームインとズームアウトをサポートしています。

ノードと Edge はクリックすることで選択でき、選択した項目に関する追加情報がサイドバーに表示されます。

ノードの上にマウスを置くと、接続中の Edge が色分けされ、そのノードの相互作用が強調表示されます。

個々のノードは、グラフ上の新しい位置にドラッグできます。グラフ全体をパンし、効果的に視点を変更できます。

グラフは、マウス ホイールをスクロールしてズームインおよびズームアウトできます。ズーム レベルを上げると、より詳しい情報を表示できます。特に、影響に関する情報を示す、いくつかのノード タイプで使用されるバッジは、実際の影響スコアによって強化されます。

[キャンペーン] サイドバー

[キャンペーン] サイドバーは、ブループリント グラフに含まれる 1 つ以上の要素に関連する情報を表示するために使用されます。デフォルトでは、最小化されています。

  • 詳細アイコン アイコンをクリックすると、ノードまたは Edge の情報が表示されます。

  • 外部リンク アイコン アイコンをクリックすると、サードパーティ製ツールが表示されます。

サイドバーを最小化するには、右山括弧アイコン アイコンをクリックします。

ノードまたは Edge の情報

ノード/Edge 情報のタブには、ブループリント グラフで選択したノードまたは Edge に関する追加情報が表示されます。ノードを選択するには、グラフ内のアイコンをクリックします。

ノード タイプ

情報

分析レポート

分析レポートに関する追加情報。

レポートの詳細:

  • 分析レポート – タスクの UUID とスコアを表示します。チェーン アイコン アイコンをクリックすると、分析レポートが新しいブラウザ タブに表示されます。

  • MD5 – ファイル ハッシュ値。

  • SHA1 – ファイル ハッシュ値。

  • サイズ – ファイル サイズ(バイト単位)。

  • カテゴリ – 分析されたファイルが属するカテゴリ。

  • タイプ – ファイルに関する詳細情報。

分析されたサンプルの観察の詳細:

  • ダウンロード回数 – 分析されたファイルがダウンロードされたことを確認した回数。

  • ホスト – 分析されたファイルをダウンロードしたホストの IP アドレス。

  • URL – ダウンロードしたファイルの完全な URL。

ダウンロードしたファイル

ダウンロードしたファイルに関する追加情報

ファイルの詳細:

  • MD5 – ファイル ハッシュ値。

  • SHA1 – ファイル ハッシュ値。

  • サイズ – ファイル サイズ(バイト単位)。

  • カテゴリ – 分析されたファイルが属するカテゴリ。

  • タイプ – ファイルに関する詳細情報。

観察の詳細:

  • ダウンロード回数 – 分析されたファイルがダウンロードされたことを確認した回数。

  • ダウンロード中のホスト - 分析されたファイルをダウンロードしたホストの IP アドレス。

  • URL – ダウンロードしたファイルの完全な URL。

  • レポート – レポートの状態、タスク UUID、スコアを表示します。チェーン アイコン アイコンをクリックすると、分析レポートが新しいブラウザ タブに表示されます。

ホスト

ホストに関する追加情報

ホスト レベルの詳細:

  • IP アドレス – 地理的に位置するマップまたはローカル ネットワーク アイコン。

  • ホスト名 – ホストのドメイン名。

  • サービス – ホストで検出されたすべてのサービス。

ホストに関連するインシデント:

  • インシデント数 - すべてのインシデントの数。

  • 最大の影響 – すべてのインシデントの最大の影響を示します。

  • 脅威 – 検出されたイベントのリスト。

メモは、ホストがモニター対象ネットワークの内部外部かを示します。

HTTP 要求

HTTP 要求に関する追加情報。

URL の詳細:

  • ダウンロード URL – HTTP 要求で確認された URL。

  • ダウンロード IP アドレス – HTTP 要求で解決された IP アドレス。ネットワーク分析アイコン アイコンをクリックすると、ネットワーク分析で要求 IP アドレスを表示できます。

要求の詳細

  • 要求の数 – HTTP 要求が確認された回数。

  • ホスト - HTTP 要求を発行するホストの IP アドレス。

  • リファラー – HTTP 要求で確認される「リファラー」ヘッダー値。

  • ユーザー エージェント – HTTP 要求で確認されたユーザー エージェントの値。

脅威

脅威に関する追加情報

脅威の詳細:

  • 脅威クラス – 検出された脅威クラスの名前。たとえば、C&C(コマンドアンドコントロール)などです。

  • 脅威 – 検出された脅威の名前。たとえば、Loki Bot などです。

  • 重要度 – 計算された脅威スコア。

  • 情報 – 検出された脅威の説明。

Edge をクリックすると、接続に関する次の情報が表示されます。

  • ソース ノード – 接続のソース。これは、ノード名、IP アドレス、ドメイン名などです。

  • ターゲット ノード – 接続先。これは、ノード名、IP アドレス、ドメイン名などです。

ソース ノードターゲット ノードの下には、接続の実際のソースまたはターゲットがあります。展開アイコン アイコンをクリックすると、ソースまたはターゲットを展開できます。

サードパーティ製ツール

サードパーティ製ツールのタブは外部ツールにリンクしており、リンク先には、グラフで選択されたエンティティに関する追加情報が得られる場合があります。現在サポートされているツールは、DomainToolsVirusTotal です。

次の検索がサポートされています。

  • ホスト ノードを選択すると、DomainTools および VirusTotal で対応する IP アドレスを検索できます。

  • ホスト名ノードを選択すると、DomainTools および VirusTotal で対応するドメイン名を検索できます。

  • ダウンロードしたファイル ノードを選択すると、VirusTotal で対応するハッシュを検索できます。

  • HTTP 要求ノードを選択すると、DomainTools および VirusTotal で要求のホスト名を検索できます。