[Asset] ビューでのデータのフィルタリング

[Asset] ビューでは、社内でアセットについて調べ、不審なドメインとやりとりしたかどうかを確認できます。[Asset] ビューを調整すると、良性のアクティビティを非表示にして、調査に関連するデータをハイライト表示できます。

[Asset] ビューページに移動するには、次の手順を行います。

  1. 調査する必要があるアセット(既知のパブリック サフィックスで終わるもの)または URL を、ユーザー インターフェースの上部にある検索バーに入力します。[SEARCH] をクリックします。

    アセットを検索する ランディング ページからアセットを検索する

  2. [ASSETS] プルダウン メニューからアセットを選択します。

    アセット検索の自動検出メニュー Chronicle の検索の自動検出メニュー

  3. [Asset] ビューが表示されます。

    [Asset] ビュー [Asset] ビュー

  4. Chronicle のユーザー インターフェースの右上にある [フィルタリング] アイコン アイコンをクリックします。次の図に示すように、[Procedural Filtering] メニューが開きます。手続き型フィルタリングを使用すると、イベントの種類、ログのソース、ネットワーク接続のステータス、トップレベル ドメイン(TLD)など、アセットに関する情報をさらに絞り込むことができます。

    [Asset] ビューの [フィルタリング] メニュー [フィルタリング] メニュー

    [Asset] ビューで使用できる [Procedural Filtering] オプションは次のとおりです。

    • EVENT TYPE
    • LOG SOURCE
    • NETWORK CONNECTION STATUS
    • TLD

    [Asset] ビューのフィルタリング メニュー オプション フィルタ オプション

普及率

普及率は 過去 7 日間に特定のドメインに接続された企業内のアセットの数の測定します。ドメインに接続するアセットが多いほど、企業内でのドメインの普及率が高くなります。google.com などの普及率の高いドメインは、調査が必要になる可能性は低くなります。[Prevalence] スライダーを使用して、優先度の高いドメインを除外し、企業全体のアクセスが少ないアセットに重点を置くことができます。最小クリック率の値は 1 です。つまり、企業内の 1 つのアセットにリンクされているドメインに集中できます。最大値は、企業内のアセット数によって異なります。

Chronicle は、特定の FQDN とその TLD の過去の傾向をグラフィカルに表現します。このグラフを使用して、ドメインから以前企業にアクセスしたことがあるかどうかを判定し、企業を対象とする特定のキャンペーンにドメインが関連付けられているかどうかを確認できます。通常、普及率が低いドメイン(接続しているアセットが少ないドメイン)は、企業にとって大きな脅威となる可能性があります。

時間スライダー

時間スライダーを使用すると、調査期間を調整できます。スライダーを調整して、1 分間から 1 日間のイベントを表示できます(普及率グラフ上でマウスのスクロールを使って調整することもできます)。多くのアセットがアクセスしたドメインは [Asset] ビューで普及率が高いと表示されます。

[Timeline] タブ

[Timeline] タブでイベントを選択すると、対応するイベントが緑色のグラデーション ヒートマップでハイライト表示されます。アラートは、赤い三角形と赤色のテキストで示されます。

[Asset] タブ

アセットを選択すると、[Asset] タブで緑色でハイライト表示され、そのアセットに関連するすべてのアクティビティがグラデーション ヒートマップで緑色にハイライト表示されます。[Asset] タブで最初にアクセスしたか最後にアクセスしたかをクリックして、[Asset] ビューにピボットできます。

[TIMELINE] サイドバー リスト

アセットを検索すると、アクティビティはデフォルトの時間枠である 2 時間で返されます。ヘッダーのカテゴリ行にカーソルを合わせると、各列の並べ替えコントロールが表示され、カテゴリに基づいてアルファベット順または時間で並べ替えることができます。時間枠を調整するには、時間スライダーを使用するか、カーソルを普及率グラフの上にカーソルを合わせてマウスホイールをスクロールします。

[DOMAINS] サイドバー リスト

このリストを使用して、特定の時間枠内での各ドメインの最初の検索を確認します。これにより、ドメインに頻繁に接続するアセットに起因するノイズを非表示にできます。

ビュー内の視覚的な要素の概要

Chronicle には、企業に存在する問題の調査に役立つ次のユーザー インターフェース要素が含まれています。

要素 Description
時間スライダー 時間スライダーを使用すると、調査期間を調整できます。スライダーを調整して 1 分から 1 日のイベントを表示できます。使用できるのは、Enterprise Insights、アセットビュー、IP アドレスビュー、ドメインビュー、ハッシュビュー、[User] ビュー、ルール ダッシュボード、ルール編集者のみです。
普及率 普及率は、過去 7 日間に特定のドメインに接続した企業内のアセットの数を測定します。[Asset ] ビュー、[IP Address] ビュー、[Domain] ビュー、[Hash] ビューでのみ使用できます。
右側のナビゲーション パネル
すべて展開 折りたたまれた項目をすべて展開します。
すべて折りたたむ 展開されたすべての項目を折りたたみます。
リセット デフォルトのビューを表示し、[All] を含めます(例外があります)。
すべて表示 すべての項目を含めます。
すべて非表示 すべての項目を除外します。
Include 除外された項目を含めます。アイコンにカーソルを合わせると、緑色でプレビューが表示されます。
除外 選択した項目をフィルタで除外します。アイコンにカーソルを合わせると、オレンジ色でプレビューが表示されます。
その他を除外する 選択した項目以外の項目をフィルタリングします。
左側のナビゲーション パネル
すべて展開 折りたたまれた項目をすべて展開します。
すべて折りたたむ 展開されたすべての項目を折りたたみます。
テキストを折り返す 右マージンに達すると、テキストを次の行に折り返します。それ以外の場合は、テキストは 1 行にのみ表示されます。
テキストの折り返し解除 ラップの折り返し解除ではテキストを 1 行に展開します。
操作 CSV 形式でダウンロード - 情報を CSV 形式でダウンロードします。
VirusTotal Graph で最初の 50 件の結果が表示され、50 件の結果を 1 ページに表示できるようになりました。
行を検索 キーワードを入力して、各行を検索します。