Enterprise Insights でアラートと IOC を表示

このドキュメントでは、Enterprise Insights ビューの使用方法について説明します。

このビューでデータを表示するには、次の場所からデータを取り込んで正規化する必要があります。

  • IOC ドメインの一致を入力する脅威インテリジェンス フィード

  • [Alerts] ペインに入力する、ファイアウォール、IDS などのサードパーティ デバイスからのアラート

Enterprise Insights ビューには、企業内で最も調査が必要なドメインとアセットが表示されます。ドメインビューから、メニュー アイコン メニュー アイコン をクリックして [Enterprise Insights] を選択し、Enterprise Insights ビューに移動します。

[Procedural Filtering] メニューは、Enterprise Insights ビューでご利用いただけます。ヘッダーのカテゴリ行にカーソルを合わせると、各列の並べ替えコントロールが表示され、カテゴリに基づいてアルファベット順または時間で並べ替えることができます。

Enterprise Insights ビュー Enterprise Insights

IOC Domain Matches

セキュリティ侵害インジケーター(IOC)ドメインには、セキュリティ インフラストラクチャが不審であると報告され、社内で最近確認されたドメインが一覧表示されます。調査対象の日付は、日付スライダーを使って調整できます(1 ~ 25 日前)。

ドメインは次のように並べ替えられます。

  1. IOC INGEST TIME - Chronicle がドメインを初めて受信した時刻。

  2. FIRST SEEN - 企業内でドメインが初めて検出された時刻

  3. LAST SEEN - ドメインが企業内で最後に確認された日時

最近のアラートがあるアセット

現在のセキュリティ アラートに含まれる企業内のアセットとユーザーが一覧表示されます。アセットアラート名ユーザー別にこの情報を整理できます。これらのアセットはさらに調査が必要になる場合があります。ユーザーをクリックすると、[ユーザー] ビューが開きます。

アセットをクリックすると、[Asset] ビューが開きます。