Risk Analytics ダッシュボード

[リスク分析] ダッシュボードでは、リスクベースのレンズを通して環境を確認できます。エンティティのリスク傾向を可視化すると、異常な動作を特定し、エンティティが企業にもたらす潜在的なリスクを理解できます。

[リスク分析] ダッシュボードには、リスクのあるエンティティとリスク要因の詳細が一覧表示されます。

[リスク分析] ダッシュボードを表示する手順は次のとおりです。

  1. ナビゲーション バーで、[検出] をクリックします。
  2. [検出] で、[リスク分析] をクリックします。

エンティティ数、リスクスコア、エンティティ テーブル

左上の合計エンティティ数グラフには、企業内で追跡されているリスクが 0 より大きいエンティティの数が表示されます。リスクスコアが 0 のエンティティは引き続きトラッキングされますが、このグラフには表示されません。合計数は、[アセット] と [ユーザー] に分けられます。

エンティティの詳細については、論理オブジェクト: イベントとエンティティをご覧ください。リスクスコアの計算方法については、リスクスコアの計算をご覧ください。

[エンティティ] テーブルには、エンティティのリスクスコアに関連する複数の列があります。
エンティティ名 エンティティの名前
エンティティ タイプ エンティティのタイプ(アセットまたはユーザー)。
正規化 正規化されたスコアは、エンティティ間で計算され、最小~最大正規化を使用して 0 ~ 1, 000 の範囲でスケーリングされます。
正規化された変更 以前のリスク計算ウィンドウからの正規化されたエンティティ リスクスコアの変化。
正規化されたトレンド 以前のリスク ウィンドウと比較した、正規化されたリスクスコアの変化率の増減。
ベース 基本エンティティ リスクスコアは、最大検出リスクスコアに残りの検出結果リスクスコアの合計に重み付けを掛けた値と等しくなります。

ウェイトのデフォルト値は .2 で、[設定] で変更できます。
ベース変更 前のリスク計算ウィンドウ以降の基本エンティティ リスクスコアの変化。
ベース トレンド 前のリスク ウィンドウと比較した基本リスクスコアの変化率の増減。
検出結果数 リスク計算期間中にこのエンティティを含む検出結果(アラートと検出)の数。
ウィンドウで最初に検知 リスク計算ウィンドウ中に、エンティティが検出結果(アラートまたは検出)で最初に検出された時点のタイムスタンプ。
ウィンドウで最終検知 リスク計算ウィンドウ中に、エンティティが検出結果(アラートまたは検出)で最後に確認されたときのタイムスタンプ。

リスク計算ウィンドウを調整する

エンティティによって計算されたリスクは、調査期間に応じて変わります。右上の [リスク計算ウィンドウ] 設定を変更する([24 時間ウィンドウ] または [7 日のウィンドウ] を選択)すると、ウィンドウが変わります。計算されたリスクスコアがここに表示されます。この設定は、探している攻撃の種類に応じて変更できます。たとえば、[リスク計算ウィンドウ] を [24 時間] に設定すると、ブルート フォース攻撃がより顕著になります。期間が長いほど、長期的な攻撃を特定できます。

エンティティのリスクスコアは、選択したリスク計算ウィンドウに応じて変わります。 エンティティのリスクスコアは、リスク時間枠内に生成された検出結果に基づいて計算されます。

クイック フィルタを使用して検索を絞り込む

クイック フィルタを使用すると、特定のニーズに関連する結果のみを表示して、検索を絞り込むことができます。

[リスク分析] ダッシュボードでクイック フィルタを使用するには、次の手順を行います。

  1. [エンティティ] 表の上にある [ filter_alt ] をクリックします。[フィルタ] ウィンドウが表示されます。
  2. 次のいずれかの列を選択します。
    • 結果の数
    • 正規化されたエンティティ リスクスコア
    • 正規化されたエンティティ リスクの傾向
  3. [表示のみ] または [フィルタで除外] を選択します。
  4. 値を選択します(複数の値を選択して範囲を拡張できます)。
    • 検出結果の数: 0~1,000 より大きい値。
    • 正規化されたエンティティ リスクスコア: 0~1,000 の値。
    • 正規化されたエンティティ リスクの傾向: -99% 未満から 199% を超える割合。
    • タイプ: [アセット] または [ユーザー] を選択します。
  5. (省略可)フィルタを追加するには、[フィルタを追加] をクリックして、ステップ 2 のこのプロセスを繰り返します。
  6. フィルタの構成が完了したら、[適用] をクリックします。

たとえば、[正規化されたエンティティ リスクの傾向] を選択して [表示のみ] を選択し、[>199%] をオンにすると、199% を超える正規化されたエンティティ リスクの変化が表示されます。

エンティティ ページを使用してエンティティを調査する

エンティティを調査する手順は次のとおりです。

  1. [エンティティ名] 列をスクロールするか、検索バーを使用してエンティティを見つけます。
  2. 調査するエンティティをクリックします。

エンティティ ページが開きます。このページでは、そのエンティティに関連付けられた検出結果のみを調べることができます。上部の [検出結果のタイムライン] グラフでは、エンティティのリスクスコアと検出結果の推移を追跡します。このグラフは事前に計算された指標で構成され、経時的な傾向を示す折れ線グラフ形式で表示されます。異常値は折れ線グラフで急上昇として確認できます。グラフの下には [検出結果] テーブルが表示されます。ここには、選択したエンティティが関連付けられているイベントとアクティビティが表示されます。

右下には折りたたみ可能な [エンティティの詳細の表示] パネルがあり、選択したエンティティの重要な概要が表示されます。選択したエンティティの詳細な検査を完了するには、[エンティティの詳細を表示] をクリックして、エンティティがアセットかユーザーかに応じて、[アセット] ビューまたは [ユーザー] でエンティティを表示します。詳細については、アセット エンティティを調査するまたはユーザーを調査するをご覧ください。

エンティティ分析を使用してエンティティを調査する

エンティティ分析は、SOC アナリストと脅威ハンターに、エンティティのベースライン プロファイル、異常、コンテキスト拡充など、エンティティの動作の詳細ビューを提供します。

エンティティ ページで、[検出結果のタイムライン] で最大 90 日間の期間を選択し、[選択の分析を表示] をクリックします。これによりサイドバーが開き、選択した期間内のこのエンティティに関連付けられた分析が表示されます。各分析には、時間範囲内のすべての分析値の集計が表示されます。検出された場合、分析には関連するアラートと検出のリストが含まれます。このリストは、さらに表示対応するアラートまたは検出ビューをクリックするとさらに確認できます。詳細については、アセットの調査をご覧ください。

次のエンティティ分析が利用できます。

  • アラート イベント名の数
  • 認証試行の成功
  • 認証試行の失敗
  • 認証試行の合計回数
  • DNS 送信バイト数
  • DNS クエリの失敗
  • DNS クエリの成功
  • DNS クエリの合計
  • ファイル実行の成功
  • ファイル実行の失敗
  • ファイル実行の合計
  • HTTP クエリの成功
  • HTTP クエリの失敗
  • HTTP クエリの合計
  • ネットワーク バイト受信
  • ネットワーク バイト送信
  • ネットワーク バイト合計
  • ワークスペースの認証試行の合計回数
  • ワークスペースのメール送信数の合計
  • ワークスペースのネットワーク バイトの送信
  • ワークスペースのネットワークの合計バイト数
  • ワークスペースの合計変更アクション
  • ワークスペースの合計ダウンロード アクション数

エンティティ リスクスコアの変更

外部の情報またはイベントがエンティティの真のリスクに影響を与える場合は、そのエンティティのリスクスコアを更新できます。

たとえば、レッドチームの演習(ペネトレーション テストなど)を終えたばかりの従業員のリスクスコアを一時的に下げると、アナリストがその従業員のリスクが増加した理由を調査に時間を費やす必要がなくなります。また、訴訟に関わる従業員のリスクスコアを一時的に引き上げることもできます。

  1. [リスク分析] ページの [エンティティ] テーブルで、行の右端の列の上にポインタを置きます。ディスプレイを右にスクロールしなければならない場合があります。more_vert をクリックします

    [エンティティ リスクスコアの更新] を選択します。

  2. [エンティティ リスク スコアの更新] ダイアログで、次の値を構成します。

    • 乗算係数: 乗算係数 0.0~100.0 でエンティティのリスクスコアを増減できます。たとえば、そのエンティティのリスクを 2 倍にする新たなエビデンスを発見した場合は、そのエンティティの真のリスク係数が反映されるように乗算係数を 50 に更新します。
    • 期間: 乗算係数が適用される期間。[現在] または [1 日] から [14 日] を選択できます。選択した期間が終了すると、エンティティ リスクスコアの更新が停止します。この期間を過ぎると、リスクスコアは通常の状態に戻ります。
    • 理由: この更新が行われた理由について、他のユーザーに追加のコンテキストを残すことができます。次のオプションから選択します。新しいエビデンス誤ったリスクスコア変更されたリスク プロファイルコンプライアンス要件、または Other

実行済みの変更を行うと(たとえば、エンティティの乗算係数を 25% に更新し、別のチームメンバーがすでにその変更を行った場合)は、次のようなダイアログが表示されます。変更を行ったユーザーと日時に関する情報など、変更がすでに行われています。

エンティティの詳細でリスクスコアの更新を表示する

[エンティティ プロファイル] ページで、エンティティのすべてのリスクスコアの更新を表示できます。

  1. リスクスコアの更新履歴を表示するエンティティをクリックして、[エンティティのプロファイル] ページを開きます。
  2. イベント タイムライン グラフでは、誰かがエンティティのリスクスコアを変更するたびに、白いテキストのリスクスコアの変更ラベルに表示されます。
  3. テキストの上にポインタを置くと、変更の日付、ユーザー、理由を含むダイアログが表示されます。

ウォッチリスト

[ウォッチリスト] ページでは、企業全体の特定のエンティティをモニタリングできます。

  1. 左側のナビゲーション バーで [検出] をクリックします。
  2. [検出] で、[リスク分析] をクリックします。
  3. [ウォッチリスト] タブをクリックします。

ウォッチリストを追加する

Chronicle アカウントにフィードを追加する手順は次のとおりです。最大 200 個のウォッチリストを設定できます。

  1. [ウォッチリストを作成] をクリックします。
  2. [ウォッチリスト名] を指定します。
  3. (省略可)[説明] を指定します。
  4. (省略可)[乗算係数] には 0 ~ 100 を指定します。デフォルト値は 1 です。
  5. (省略可)[ウォッチリストにエンティティを追加] セクションの手順に沿って、ウィンドウの右側でエンティティを指定します。ここで次のエンティティ タイプを追加できます。
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. [ウォッチリストを作成] をクリックします。

ウォッチリストを固定する

  1. [ディスプレイを編集] をクリックします。
  2. 固定するウォッチリストの横にあるチェックボックスをオンにします。
  3. [保存] をクリックします。

ウォッチリストの固定を解除する

  1. [ウォッチリスト] ダッシュボードで、固定を解除するウォッチリストを選択し、[ more_vert ] を選択します。
  2. [ディスプレイから削除] をクリックします。

ウォッチリストを編集する

  1. [ウォッチリスト] ダッシュボードで、編集するウォッチリストを選択し、 more_vert アイコンをクリックします。
  2. [ウォッチリストを編集] をクリックします。

ウォッチリストを削除する

  1. [ウォッチリスト] ダッシュボードで、削除するウォッチリストを選択し、 more_vert をクリックします。
  2. [ウォッチリストを削除] をクリックします。

ウォッチリストにエンティティを追加する

エンティティをウォッチリストに追加するには、次のいずれかの形式で、エンティティ名、型、名前空間(省略可)を行ごとに指定します。

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE は、以下のいずれかになります。

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE は、アセット エンティティ タイプに対してのみ指定できます。

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

次に例を示します。

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

この例では、ウォッチリストに追加された 2 つのエンティティ(アセット IP アドレス 205.148.5.0 と、chronicle 名前空間のホスト名 website.com)を表しています。1 つのウォッチリストには最大 10,000 のエンティティを含めることができます。

ウォッチリストからエンティティを削除する

ウォッチリストからエンティティを削除するには、削除するエンティティを表す行を削除して、[保存] をクリックします。

リスクスコアの設定を変更する

[エンティティ リスクスコア] ページでは、エンティティ、アラート、検出のリスクスコアの計算方法を定義できます。このページでは、検索固有のニーズに基づいてリスクの計算方法を調整できます。

[エンティティ リスクスコア] ページには更新できる次の 3 つのフィールドがあります。

これらの設定を変更する方法は次のとおりです。

  1. ナビゲーション バーで、[設定] > [エンティティリスクスコア] を選択します。
  2. それに応じてリスクスコアを更新します。
  3. [Save] をクリックします。[リスク分析] のメインページに戻ると、[エンティティ リスクスコア] に変更が行われたことを確認するメッセージが画面の上部に表示されます。
  4. (省略可)これらの値を再設定するには、値の右側にある [リセット] をクリックします。

更新は新しいアラートと検出にのみ適用されます。変更が有効になるまで最大で 30 分かかることがあります。

エンティティ リスクスコアの重み付け

重み付けは、アラートと検出のリスクスコアがエンティティ リスクスコアの計算にどのように影響するかを定義します。重みは 0 ~ 1 の値で、デフォルトは 0.2 です。

さまざまな数値がエンティティ リスクスコアの計算にどのように影響するかの例を次に示します。

  • エンティティ リスクスコアの重み付け 0。未加工のリスクスコアは、エンティティのすべての検出の中での最大検出リスクスコアです。
  • エンティティ リスクスコアの重み付け 1。未加工のリスクスコアは、エンティティに対するすべての検出リスクスコアの合計です。
  • エンティティ リスクスコアの重み付け 0.5。リスクスコアは、エンティティの最大リスクスコアで検出に完全な重みを割り当て、他のすべての検出には半分の重みを割り当てます。

検出のデフォルトのリスクスコア

[検出のデフォルトのリスクスコア] を使用すると、検出リスクスコアのデフォルト値を割り当てることができます。検出リスクスコアは、エンティティのリスクスコアの計算に使用されます。検出のリスクスコアは、ルールの作成時に定義されます。ルールにリスクスコアが定義されていない場合は、デフォルト値が使用されます。デフォルトのスコアは 15、リスクスコアの範囲は 0 ~ 100 です。

アラートのデフォルトのリスクスコア

検出のデフォルトのリスクスコアと同様に、このフィールドを使用すると、アラートのリスクスコアのデフォルト値を割り当てることができます。ルールにリスクスコアが定義されていない場合は、デフォルトの 40 が使用されます。リスクスコアの範囲は 0 ~ 1,000 です。

ルールでのリスクスコアを定義する方法については、結果セクションの構文をご覧ください。

[終了] アラート係数

[終了] アラート係数は、アナリストによって [終了] とマークされたアラートのリスクスコアを変更します。0~1 の範囲内の数値(0 と 1 を含む)の浮動小数点修飾子です。デフォルトは 1.0 です。つまり、[対応待ち] アラートと [終了] アラートはすべて元のスコアを保持します。[終了] アラート係数が 0.0 の場合、[終了] アラートはすべてリスクスコア 0 を受け取り、エンティティ全体のリスクスコアを増加させなくなります。