脅威解析センター
脅威解析センターダッシュボードでは、検出の数値と傾向を表示および分析できます。
「脅威解析センター」を参照して、ダッシュボードを表示します。
ソフォスではダッシュボードを新しい機能で更新しています。古いダッシュボードに戻る場合は、ダッシュボードの右上にある「元のダッシュボード」を選択します。
ダッシュボードの使用方法については、下の該当するタブを選択してください。
新ダッシュボードでは、より多くの検出データと、それを視覚化するためのより良い手法が提供されています。
これで、次の操作が可能になります。
- 検出データを表示する期間を選択します。
- 検出のさまざまな側面別に分類された検出の図を参照してください。
- フィルタを使用して、特定のタイプ、重要度などに基づいて検出を参照します。詳細は、フィルタの設定を参照してください。
- 地理的な場所でマッピングされた検出を参照してください
- 各セクションの検出の図をクリックすると、事前にフィルタリングされたデータに直接移動します。
検出総数
検出の総数と、各重要度レベルのパーセンテージの内訳が表示されます。
任意の図をクリックすると、事前にフィルタリングされた検出のページが開き、必要な重要度が表示されます。ページは新しいタブで開きます。
フィルタの設定の説明に従ってフィルタリングも使用できます。
検出総数
選択した期間内の検出数と、各時間または日付の平均値に基づく傾向が表示されます。
傾向を示すトレンドラインは、最大 7日間の期間にのみ表示されます。
このグラフを変更して、検出のさまざまな側面に応じて数値を表示できます。詳細は、内訳ビューの選択を参照してください。
フィルタの設定の説明に従ってフィルタリングも使用できます。
内訳ビューの選択
検出総数グラフをカスタマイズして 、検出数の内訳を表示できます。たとえば、重要度 (緊急、高、中、低) に基づいた検出数を表示できます。
これを行うには、表の上にあるドロップダウンメニューから、内訳を表示する機能を選択します。
この操作を行うと、棒グラフが変化して、棒のグループに置き換えられた個別の棒が表示されます。重要度を選択した場合は、緊急、高、中、または低のリスクの検出数が個別の棒で表示されます。棒にカーソルを合わせると、数字が表示されます。
注
MITRE 戦術ビューでは、折れ線グラフが使用されます。個別の線は、さまざまな戦術ごとの検出を示しています。
グラフまたはヒートマップビューの選択
検出数は、グラフまたはヒートマップカレンダーとして表示できます。デフォルトはグラフビューです。これを変更するには、画面の右上にあるアイコンを使用します。ヒートマップの場合は、右側のアイコンをクリックします。
上位 10 のエンティティ
検出数が最も多い上位 10 のエンティティ (サーバーなど) が表示されます。検出数をクリックすると、リスクレベル別の内訳が表示されます。
リストの上にあるドロップダウンメニューを使用して、次のように検出数を表示できます。
- エンティティ別: 検出数が最も多いデバイスを表示します。
- センサー別:検出数が最も多いセンサーを表示します。センサーは、Sophos Data Lake に検出を報告する製品です。
フィルタの設定の説明に従ってフィルタリングも使用できます。
上位 10名のユーザー
検出が最も多い 10人のユーザー。検出数をクリックすると、リスクレベル別の内訳が表示されます。
フィルタの設定の説明に従ってフィルタリングも使用できます。
検出センサーの場所
世界地図によって、さまざまな地理的地域での検出の数と内訳を示しています。ズームインして、国、州、都市などの小規模な地域での検出数を表示できます。
地域の検出数をクリックすると、リスクレベル別の内訳が表示されます。
このセクションは、フィルタの設定の説明に従ってカスタマイズできます。
MITRE TTP (戦術、手法、手順)
このヒートマップには、MITRE カテゴリ別の検出数が表示されます。戦術の上にカーソルを置くと、リスクレベル別の内訳が表示されます。
戦術をクリックすると、その期間中に検出された MITRE 手法にズームインできます。もう一度クリックすると、戦術ビューに戻ります。
このセクションは、フィルタの設定の説明に従ってカスタマイズできます。
最近検出された項目
ネットワーク上での最新の検出が表示されます。
フィルタの設定の説明に従ってフィルタリングも使用できます。
期間の設定
デフォルトの期間は、過去24時間です。この値は、過去 1時間、過去 7日間、または過去 30日間に変更できます。
「カスタム」を選択 して、カスタム範囲を設定することもできます。
フィルタの設定
フィルタを使用すると、表示するデータを選択できます。「フィルタ」をクリックして、選択内容を表示します。
以下のフィルタのセットを使用できます。
- エンティティ。特定のデバイスの名前を入力して、そこで発生した検出を確認できます。
- 重要度。特定のリスクレベルの検出を表示する場合に選択します。
- 種類。特定の脅威の種類の検出を表示する場合に選択します。
- OS。特定の OS を実行しているデバイスで発生した検出を表示する場合に選択します。
- MITRE 戦術。特定の MITRE 戦術に一致する検出を表示する場合に選択します。
- 検出。検出名を入力すると、その検出のインスタンスが表示されます。
- カテゴリ。特定のタイプのセンサーによって報告された検出を表示する場合に選択します。たとえば、ファイアウォールです。
各セットで複数のオプションを選択するか、 セットの横にある「すべて選択」をクリックします。複数のセットでオプションを選択することもできます。
(ビューがあるセクション内で) ドロップダウンメニューから選択したビューとフィルタを組み合わせることができます。
グラフでの詳細のハイライト表示
グラフ上の特定のグラフ棒または線をハイライト表示できます。グラフの横のキーに表示されている色サンプルにカーソルを合わせます。たとえば、重要度別の検出を示すグラフで、特定のリスクレベルの色をクリックして、そのグラフ棒をハイライト表示します。
元のダッシュボードは、最近の脅威検出と調査のアクティビティを示すテーブルで構成されています。
最近のケース
ケースを使用して、潜在的な脅威を解析できます。ソフォスによって検出された疑わしいイベントをグループ化し、それに対するフォレンジック分析の実行を支援します。
検出がある場合は、ケースを自動的に作成し、関連する検出を後で追加します。または、独自の調査を作成して検出を追加することもできます。詳細は、ケースを参照してください。
ダッシュボードには、最近のケースが一覧表示され、現在のステータスが表示されます。
最近実行したケースすべてを表示するには、「すべて表示」をクリックします。
最近検出された項目
「検出」は、デバイスにある異常または疑わしいアクティビティで、ブロックされていないものを検出します。これは、悪意のあることが既にわかっているアクティビティを検出してブロックするイベントとは異なります。
検出は、デバイスが Sophos Data Lake にアップロードするデータに基づいて生成されます。
ダッシュボードには、最近検出された情報と、リスクレベル、発生場所、検出された製品または統合の詳細が表示されます。
すべての検出を表示するには、「すべて表示」をクリックします。
最近の脅威グラフ
脅威グラフでは、マルウェア攻撃を調査できます。各グラフをクリックして、攻撃の感染元や感染経路のほか、感染したプロセスやファイルを特定できます。
脅威グラフは、Windows デバイスのみで利用できます。
脅威グラフは、それを生成したユーザーに応じて、次のようにダッシュボードの異なるタブに表示されます。
- ソフォスによって自動生成されたグラフ。
- Sophos Central の管理者によって生成されたグラフ。
この領域には、状態が「新規」の脅威グラフのみが表示されます。クローズされた、または進行中の脅威グラフの場合、その日付が、状態が「新規」のグラフの日付より新しくても、ここには表示されません。
すべてのグラフを表示するには、「すべての脅威グラフの表示」をクリックします。
最近実行した Live Discover のクエリ
Live Discover では、次のようにしてデバイスでクエリを実行できます。
- ソフォスの他の機能で未検出の脅威の兆候がないかどうか検索する。
- Sophos Central によって脅威が別の場所で検出された場合、疑わしい脅威や既知の脅威の兆候を検索する。
- セキュリティ基準に準拠しているかどうかを確認する。
ダッシュボードには、最近実行したクエリ複数が表示されます。
クエリとその結果の詳細を表示するには、リストでそのクエリの名前をクリックします。
最近実行したクエリすべてを表示するには、「すべて表示」をクリックします。
新しいクエリを実行するには、「新しいセッション」をクリックします。
最近スケジュール設定されたクエリ
Live Discover クエリは、スケジュール設定できます。
ダッシュボードには、最近実行されたスケジュール済みクエリ複数とその頻度が表示されます。
スケジュール済みクエリの詳細を表示し、その結果にアクセスするには、リストでそのクエリの名前をクリックします。
スケジュール済みクエリすべてを表示するには、「すべて表示」をクリックします。