アセットビューでデータをフィルタする
[Asset] ビューでは、社内でアセットについて調べ、不審なドメインとやりとりしたかどうかを確認できます。[Asset] ビューを調整すると、良性のアクティビティを非表示にして、調査に関連するデータをハイライト表示できます。
[Asset] ビューページに移動するには、次の手順を行います。
調査する必要があるアセット(末尾が既知のパブリック サフィックス)または URL を、ユーザー インターフェースの上部にある検索バーに入力します。[検索] をクリックします。
ランディング ページからアセットを検索する[ASSETS] プルダウン メニューからアセットを選択します。
Chronicle 検索の自動検出メニュー[Asset] ビューが表示されます。
![[Asset] ビュー](https://cloud.google.com/chronicle/images/filter-asset-asset-view.png?hl=ja)
[Asset] ビューChronicle ユーザー インターフェースの右上にある
![[フィルタリング] アイコン](https://cloud.google.com/chronicle/images/filtering-icon-c.png?hl=ja)
アイコンをクリックします。次の図に示すように、[Procedual Filtering] メニューが開きます。Procedual Filtering を使用すると、イベントの種類、ログのソース、ネットワーク接続のステータス、トップレベル ドメイン(TLD)など、アセットに関する情報をさらに絞り込むことができます。![[Asset] ビューの [フィルタリング] メニュー](https://cloud.google.com/chronicle/images/filter-asset-av-filtering-menu.png?hl=ja)
[フィルタリング] メニュー[Asset] ビューで使用できる [Procedural Filtering] オプションは次のとおりです。
- EVENT TYPE
- LOG SOURCE
- NETWORK CONNECTION STATUS
- TLD
![[Asset] ビューのフィルタリング メニュー オプション](https://cloud.google.com/chronicle/images/filter-asset-av-filtering-menu-options.png?hl=ja)
フィルタ オプション
[Asset] ビューの操作
普及率
普及率は、過去 7 日間に特定のドメインに接続した企業内のアセットの数を測定します。ドメインに接続するアセットが多いほど、ドメインは企業内で普及します。google.com などの普及率の高いドメインは、調査を必要としません。[普及率] スライダーを使用して、普及率の高いドメインを除外し、企業全体でアクセスされているアセットが少ないドメインに集中できます。普及率の最小値は 1 であるため、企業内の単一のアセットにリンクされているドメインに集中できます。 最大値は、企業内で設定したアセット数によって異なります。
Chronicle は、特定の FQDN とその TLD の過去の普及状況をグラフで表現します。このグラフは、以前にドメインが企業内からアクセスされているかどうかを判定するために使用できます。また、このドメインが企業を対象とする特定のキャンペーンに関連付けられているかどうかを示すこともできます。通常、あまり普及していない IP アドレス(接続されるアセットが少ないアドレス)は、企業に対する脅威の増大につながる可能性があります。
時間スライダー
時間スライダーを使用すると、調査期間を調整できます。スライダーを調整して、1 分間から 1 日間のイベントを表示できます(普及率グラフ上でマウスのスクロールを使って調整することもできます)。多くのアセットがアクセスしたドメインは [Asset] ビューで普及率が高いと表示されます。
[Timeline] タブ
[Timeline] タブでイベントを選択すると、対応するイベントが勾配ヒートマップで緑色でハイライト表示されます。アラートは赤色の三角形と赤色のテキストで示されます。
[Asset] タブ
アセットを選択すると、[Asset] タブで緑色でハイライト表示され、そのアセットに関連するすべてのアクティビティがグラデーション ヒートマップで緑色にハイライト表示されます。[Asset] タブで最初にアクセスしたか最後にアクセスしたかをクリックして、[Asset] ビューにピボットできます。
[TIMELINE] サイドバー リスト
アセットを検索すると、デフォルトの時間枠である 2 時間のアクティビティが返されます。ヘッダーのカテゴリ行にカーソルを合わせると、各列の並べ替えコントロールが表示され、カテゴリに基づいてアルファベット順または時間で並べ替えることができます。時間枠を調整するには、時間スライダーを使用するか、普及率グラフの上にカーソルを合わせてマウスをスクロールします。
[DOMAINS] サイドバー リスト
このリストを使用して、特定の時間枠での個別のドメインの最初のルックアップを確認できます。これによりドメインに頻繁に接続するアセットに起因するノイズを非表示にできます。
ビューの視覚要素の概要
Chronicle には、企業内で発生する可能性がある問題を調査する際に活用できる次のユーザー インターフェース要素が含まれています。
| 要素 | Description |
|---|---|
| 時間スライダー | 時間スライダーを使用すると、調査期間を調整できます。スライダーを調整して、1 分間から 1 日間のイベントを表示できます。Enterprise Insights、アセットビュー、IP アドレスビュー、ドメインビュー、ハッシュビュー、ユーザービュー、ルール ダッシュボード、ルール エディタのみで使用できます。 |
| 普及率 | 普及率は、過去 7 日間に特定のドメインに接続した企業内のアセットの数を測定します。[Asset ] ビュー、[IP Address] ビュー、[Domain] ビュー、[Hash] ビューでのみ使用できます。 |
| 右側のナビゲーション パネル | |
| すべて展開 | すべての折りたたまれた項目を展開します。 |
| すべて折りたたむ | 展開されたすべての項目を折りたたみます。 |
| リセット | デフォルトのビューを表示し、[All] を含めます(例外があります)。 |
| すべて表示 | すべての項目を含めます。 |
| すべて非表示 | すべての項目を除外します。 |
| Include | 除外された項目を含めます。アイコンにカーソルを合わせると、緑色でプレビューが表示されます。 |
| 除外 | 選択した項目をフィルタで除外します。アイコンにカーソルを合わせると、オレンジ色でプレビューが表示されます。 |
| その他を除外する | 選択した項目以外の項目をフィルタリングします。 |
| 左側のナビゲーション パネル | |
| すべて展開 | すべての折りたたまれた項目を展開します。 |
| すべて折りたたむ | 展開されたすべての項目を折りたたみます。 |
| テキストを折り返す | 右マージンに達すると、テキストを次の行に折り返します。それ以外の場合は、テキストは 1 行にのみ表示されます。 |
| テキストの折り返し解除 | ラップの折り返し解除ではテキストを 1 行に展開します。 |
| 操作 | CSV 形式でダウンロード - 情報を CSV 形式でダウンロードします。 |
| 行を検索 | キーワードを入力して、各行を検索します。 |