アラートと IOC を表示する

[アラートと IOC] ページには、現在企業に影響を与えているすべてのアラートとセキュリティ侵害インジケーター(IOC)が表示されます。このページでは、アラートと IOC をフィルタして表示できるツールをいくつか提供します。

  • アラートは、セキュリティ インフラストラクチャ、セキュリティ担当者、Chronicle ルールで指定できます。

  • IOC は Chronicle によって自動的に指定されます。Chronicle は、自社のインフラストラクチャとその他の多数のセキュリティ データソースの両方から、常にデータを取り込んでいます。不審なセキュリティ インジケーターとセキュリティ データを自動的に関連付けます。一致するものが見つかった場合(たとえば企業内で不審なドメインが見つかった場合)、Chronicle はイベントを IOC としてラベル付けし、[IOC matches] タブに表示します。

ナビゲーション バーで、[検出] > [アラートと IOC] をクリックします。

アラートと IOC

アラートを表示

[アラート] タブには、企業内の現在のアラートがすべて一覧表示されます。 リスト内のアラート名をクリックして、[アラート ビュー] にピボットします。アラート ビューには、アラートとそのステータスに関する追加情報が表示されます。

各アラートの重大度、優先度、リスクスコア、判断が一目でわかります。色分けされたアイコンや記号で、注意が必要なアラートをすばやく確認できます。

アラートリストを更新する

表示されたアラートリストを更新する頻度を選択するには、右上の [Refresh time] プルダウン メニューに移動します。ボードを 5 分、15 分、1 時間ごとに自動更新するように選択できます。円形の矢印アイコンをクリックして、最新の結果をすぐに表示することもできます。

更新時間の右側には、[Showing] というラベルの検索バーがあり、その中に小さなカレンダー アイコンがあります。ここで、表示されたデータの期間を調整できます。

カレンダー アイコンをクリックして、カレンダーを表示します。期間を調整するには、左側にある事前設定された期間のいずれか(直近 5 分から先月まで)を選択します。カレンダーの任意の場所で開始日と終了日を選択して、カスタム期間を指定することもできます。

フィルタの使用

フィルタを使用するには、表の左上にある青色の目標到達プロセスの形の[フィルタ] アイコンをクリックします。

[アラートリストのフィルタ] というダイアログが表示されます。

左側の列で、次の選択肢からフィルタするカテゴリを選択します。

  • Author
  • ケース
  • 優先度
  • 評価
  • ルール
  • ルール ID
  • 重大度
  • ステータス
  • 判断

中央の列でフィルタのタイプを選択します。

  • 表示の絞り込み - フィルタに一致するアイテムを表示します。
  • フィルタで除外 - フィルタに一致しないアイテムを表示します。

右側の列で、フィルタの対象となる要素を選択します。また、論理演算子も選択する必要があります。

  • OR - 結合された条件(分離)のいずれかに一致する必要があります
  • AND - 結合されたすべての条件(結合)に一致する必要があります

たとえば、「非常に重大」というラベルの付いたアラートを検索する場合は、左の列の [重大度] をクリックし、右側の列の [重大] をクリックし、[表示の絞り込み] を選択します。

さらにフィルタを追加するには、[+ フィルタを追加] をクリックします。

追加したフィルタは、表の上にチップとして表示されます。

同じカテゴリの 2 つのフィルタを使用する場合、同じチップに表示されます。[] または [重大] というラベルが付いたアラート(いずれも [重大度] ラベルのもとで)を見つけるには、次の手順を行います。

  1. 最初のフィルタを選択します。
  2. 2 番目のフィルタを開きます。
  3. 2 番目のフィルタをクリックすると、[表示の絞り込み] と [フィルタで除外] の 2 つの選択肢が表示されます。[表示の絞り込み] をクリックします。

フィルタをクリア

1 つのフィルタを削除するには、削除するフィルタの横にあるゴミ箱アイコンをクリックします。

ページから既存のフィルタをすべて消去するには、すべてのチップがある場所の横にある青色の [すべてクリア] ボタンをクリックします。

IOC Matches を表示する

[IOC Domain Matches] には、セキュリティ インフラストラクチャが不審であると報告し、社内で最近表示されたドメインが一覧表示されます。

自社の IOC を表示するには、[IOC Matches] タブをクリックします。右上の [過去 3 日分] をクリックすると、期間とイベント時間のダイアログ ウィンドウが開き、調査対象の日付を調整できます。

IOC マッチングは、イベントのタイムスタンプが脅威インテリジェンス フィード内でアクティブな期間内にある場合にのみ発生します。アクティブな期間とは、IOC が有効である期間です。脅威インテリジェンス フィードにアクティブな期間がない場合、フィードデータでドメインが識別されるたびに IOC 一致が返されます。

Applied Threat Intelligence を有効にすると、[IOC Matches] タブに追加情報が表示されます。詳しくは、Applied Threat Intelligence をご覧ください。

[IOC Matches] タブ

ドメインは、名前、またはページに表示されている他の列カテゴリで並べ替えることができます。たとえば、次のようなカテゴリがあります。

  • カテゴリ
  • ソース
  • アセット
  • 信頼度
  • 重大度
  • IOC 取り込み時間
  • 初回検知
  • 最終検知

左側の [Procedural Filtering] メニューを使用して、表示される IOC をフィルタリングすることもできます。

Chronicle Security Operations のお客様

Chronicle Security Operations のお客様の場合、Chronicle の SOAR アラートがここに表示され、ケース ID が含まれます。ケース ID をクリックして、[ケース] ページを開きます。[ケース] ページでは、アラートとケースの両方に関する情報を取得できます。返信することもできます。詳細については、ケースの概要をご覧ください。