Enterprise Insights でアラートと IOC を表示する

このページでは、Enterprise Insights ビューの使用方法について説明します。

このビューでデータを表示するには、次の場所からデータの取り込みと正規化を行う必要があります。

  • IOC ドメインの一致を入力する脅威インテリジェンス フィード

  • [Alerts] ペインに入力する、ファイアウォール、IDS などのサードパーティ デバイスからのアラート

Enterprise Insights ビューには、企業内で最も調査が必要なドメインとアセットが表示されます。[Domain] ビューで、メニュー アイコン メニュー アイコン をクリックし、[Enterprise Insights] を選択して、Enterprise Insights ビューに移動します。

[Procedural Filtering] メニューは、Enterprise Insights ビューでご利用いただけます。ヘッダーのカテゴリ行にカーソルを合わせると、各列の並べ替えコントロールが表示され、カテゴリに基づいてアルファベット順または時間で並べ替えることができます。

Enterprise Insights ビュー Enterprise Insights

IOC Domain Matches

セキュリティ侵害インジケーター(IOC)ドメインには、セキュリティ インフラストラクチャが不審であると報告され、社内で最近確認されたドメインが一覧表示されます。調査対象の日付は、日付スライダーを使って調整できます(1 ~ 25 日前)。

ドメインは以下の順序で並べ替えられます。

  1. IOC INGEST TIME - Chronicle がドメインを初めて受信した時刻。

  2. FIRST SEEN - 企業内でドメインが初めて検出された時刻

  3. LAST SEEN - ドメインが企業内で最後に確認された日時

最近のアラートがあるアセット

現在のセキュリティ アラートに含まれる企業内のアセットとユーザーが一覧表示されます。この情報は、[アセット]、[アラート名]、[ユーザー] で整理できます。これらのアセットは追加で調査する必要があります。ユーザーをクリックすると [User] ビューが開きます。

アセットをクリックすると、[Asset] ビューが開きます。