脅威解析センター
脅威解析センターダッシュボードでは、検出の数値と傾向を表示および分析できます。
「脅威解析センター」を参照して、ダッシュボードを表示します。
合計ケース数
これは、お客様が Sophos Central で手動で作成したケースの総数、またはすべての検出ソースから自動的に生成されたケースの総数を示します。
デフォルトの期間は、「過去7日」です。これは、「過去 30日」、「過去 3か月」、「過去 6か月」、または「過去 1年」に変更できます。
以下のフィルタのセットを使用できます。
- 重要度: 特定のリスクレベルの検出を表示します。たとえば、 「緊急」、「リスク - 低」などです。
- 状態: ケースの状態を表示します。たとえば、「対処が必要」、「調査中」などです。
- ケースの種類: ケースの種類を表示します。たとえば、「アクティブな脅威」、「顧客のリクエスト」などです。
- 管理タイプ: ケースの管理者が表示されます。これは、顧客または Sophos になります。
- エスカレーション済み: ケースがエスカレーションされているかどうかが表示されます。
- 判定: ケースの分類を表示します。たとえば、「誤検知」、「検出」などです。
詳細は、ケースを参照してください。
合計ケース数
合計ケース数グラフをカスタマイズして 、ケース数の内訳を表示できます。たとえば、重要度に応じてケースを分類して表示できます。「合計」、「緊急」、「高」、「中」、「リスク - 低」、「情報」。
これを行うには、表の上にあるドロップダウンメニューから、内訳を表示する機能を選択します。
デフォルトの期間は、「過去7日」です。ドロップダウンメニューで、「過去 30日」、「過去 3ヶ月」、「過去 6ヶ月」、または「過去 1年」に変更できます。
最近のケース
最新のケースが表示されます。ケースの完全なリストを表示するには、「すべて表示」アイコン をクリックします。
検出総数
検出の総数と、各重要度レベルのパーセンテージの内訳が表示されます。
任意の図をクリックすると、事前にフィルタリングされた検出のページが開き、必要な重要度が表示されます。ページは新しいタブで開きます。
フィルタの設定の説明に従ってフィルタリングも使用できます。
検出総数
選択した期間内の検出数と、各時間または日付の平均値に基づく傾向が表示されます。
傾向を示すトレンドラインは、最大 7日間の期間にのみ表示されます。
このグラフを変更して、検出のさまざまな側面に応じて数値を表示できます。詳細は、検出数の内訳を表示するを参照してください。
フィルタの設定の説明に従ってフィルタリングも使用できます。
検出数の内訳を表示する
検出総数グラフをカスタマイズして 、検出数の内訳を表示できます。たとえば、検出番号を重要度に応じて次のように分類して表示できます。「緊急」、「高」、「中」、「リスク - 低」。
これを行うには、表の上にあるドロップダウンメニューから、内訳を表示する機能を選択します。
この操作を行うと、棒グラフが変化して、棒のグループに置き換えられた個別の棒が表示されます。重要度を選択した場合は、「緊急」、「高」、「中」、または「リスク - 低」の検出数が個別の棒で表示されます。棒にカーソルを合わせると、数字が表示されます。
注
MITRE 戦術ビューでは、折れ線グラフが使用されます。個別の線は、さまざまな戦術ごとの検出を示しています。
グラフまたはヒートマップビューの選択
検出数は、グラフまたはヒートマップカレンダーとして表示できます。デフォルトはグラフビューです。これを変更するには、画面の右上にあるアイコンを使用します。ヒートマップの場合は、右側のアイコンをクリックします。
最近検出された項目
ネットワーク上での最新の検出が表示されます。
フィルタの設定の説明に従ってフィルタリングも使用できます。
最近検出された項目のリストを表示するには、「すべて表示」アイコン をクリックします。
上位 10 のエンティティ
検出数が最も多い上位 10 のエンティティ (サーバーなど) が表示されます。検出数をクリックすると、リスクレベル別の内訳が表示されます。
リストの上にあるドロップダウンメニューを使用して、次のように検出数を表示できます。
- エンティティ別: 検出数が最も多いデバイスを表示します。
- センサー別:検出数が最も多いセンサーを表示します。センサーは、Sophos Data Lake に検出を報告する製品です。
フィルタの設定の説明に従ってフィルタリングも使用できます。
上位 10名のユーザー
検出が最も多い 10人のユーザー。検出数をクリックすると、リスクレベル別の内訳が表示されます。
フィルタの設定の説明に従ってフィルタリングも使用できます。
最近の脅威グラフ
最近生成された脅威グラフのリストが表示されます。脅威グラフは、マルウェア攻撃の発生源と進行状況を示すグラフです。完全なリストは 脅威グラフで利用できます。詳細は、脅威グラフを参照してください。
検出センサーの場所
世界地図によって、さまざまな地理的地域での検出の数と内訳を示しています。ズームインして、国、州、都市などの小規模な地域での検出数を表示できます。
地域の検出数をクリックすると、リスクレベル別の内訳が表示されます。
このセクションは、フィルタの設定の説明に従ってカスタマイズできます。
MITRE TTP (戦術、手法、手順)
このヒートマップには、MITRE カテゴリ別の検出数が表示されます。戦術の上にカーソルを置くと、リスクレベル別の内訳が表示されます。
戦術をクリックすると、その期間中に検出された MITRE 手法にズームインできます。もう一度クリックすると、戦術ビューに戻ります。
このセクションは、フィルタの設定の説明に従ってカスタマイズできます。
最近のクエリ
実行した Live Discover クエリ、または実行した顧客がスケジュールしたクエリのリストが表示されます。
Live Discover エンドポイント クエリとスケジュールされていない手動の Data Lake クエリは、過去 2時間以内に実行された場合にのみリストに表示されます。2時間後、これらのクエリは削除されます。その他の種類のクエリは 7日間リストされます。
最近のクエリの完全なリストを表示するには、「すべて表示」アイコン をクリックします。
期間の設定
デフォルトの期間は、過去24時間です。この値は、過去 1時間、過去 7日間、または過去 30日間に変更できます。
「カスタム」を選択 して、カスタム範囲を設定することもできます。
フィルタの設定
フィルタを使用すると、表示するデータを選択できます。「フィルタ」をクリックして、選択内容を表示します。
以下のフィルタのセットを使用できます。
- エンティティ。特定のデバイスの名前を入力して、そこで発生した検出を確認できます。
- 重要度。特定のリスクレベルの検出を表示する場合に選択します。
- 種類。特定の脅威の種類の検出を表示する場合に選択します。
- OS。特定の OS を実行しているデバイスで発生した検出を表示する場合に選択します。
- MITRE 戦術。特定の MITRE 戦術に一致する検出を表示する場合に選択します。
- 検出。検出名を入力すると、その検出のインスタンスが表示されます。
- カテゴリ。特定のタイプのセンサーによって報告された検出を表示する場合に選択します。たとえば、ファイアウォールです。
各セットで複数のオプションを選択するか、 セットの横にある「すべて選択」をクリックします。複数のセットでオプションを選択することもできます。
(ビューがあるセクション内で) ドロップダウンメニューから選択したビューとフィルタを組み合わせることができます。
グラフでの詳細のハイライト表示
グラフ上の特定のグラフ棒または線をハイライト表示できます。グラフの横のキーに表示されている色サンプルにカーソルを合わせます。たとえば、重要度別の検出を示すグラフで、特定のリスクレベルの色をクリックして、そのグラフ棒をハイライト表示します。