集約ビュー

集約ビューには、特定のデバイスのイベントが、時間に関する直感的なグラフィックで表示されます。

それぞれの期間中にデバイスが参加する各タイプのイベントが、スイムラインと呼ばれる1本の線で表されます。イベントの発生は、スイムライン上の色付きの長方形によって表されます。選択されたスケールに従って、近接するイベントは1つの長方形に集約されます。長方形の長さはイベントの時間長に相当します。時間はX軸に表示されます。昼夜の交代も表示されます。

サンプリングを行うと、25を超えるイベントで構成される集約済みイベント詳細の計算がスピードアップします。サンプリングが使用された場合、データの精度が低いことを伝える情報がイベントに表示されます。

データのフィルタリング

グラフのデータは、対応する検索基準に従ってフィルタリングすることができます。見やすくするため、検索基準は(常に表示される)基本検索基準と、([さらに多くのフィルタ]ボタンをクリックすると表示される)高度な検索基準に分かれています。利用可能な検索基準は、次の通りです。

• 日付: 情報を集約ビューに表示する関連期間。期間は直接指定するか、付属のカレンダーから選択できます(カスタム期間)。

• パースペクティブ: 選択した優先度順にイベントが表示されます。

• 送信元IP: このフィールドで指定したIPアドレスのイベントのみ表示されます。IPアドレスを以下のフォーマットで入力できます。

  • 単一IPアドレス: IPバージョン4および6の単一IPアドレス(例: 192.168.2.1、2001:db8::beef)または単一IPアドレスのカンマ区切りのリスト

  • IPバージョン4および6のネットワークアドレスまたはマスク(例: 192.168.1.0/24、fc00::/7)

  • IPバージョン4および6のIPアドレス範囲(例: 10.0.1.2-10.0.1.10、fe80::-fe80::ffff)

  • IPv4アドレスのワイルドカード表記(列挙、範囲、すべて)。1つのIPアドレスでは1つのワイルドカードのみ使用できます。例:

    • 192.168.{1,3,20}.1: IPアドレス192.168.1.1、192.168.3.1、192.168.20.1

    • 10.[1-3].0.0: IPアドレス10.1.0.0、10.2.0.0、10.3.0.0

    • **172.16.*.1: 172.16.[0-255].0と同じ

• データフィード: 指定したデータフィードからのフローの監視によって検出されたイベントのみ表示できます。

• メソッド: 指定したイベントのみ集約ビューに表示されます。

• フィルタ: イベントのソースを指定するには、定義済みのフィルタを選択します。

• イベントカテゴリ: 選択したカテゴリに含まれるイベントのみ表示できます。

• MITRE ATT&CKテクニック: 選択されたMITRE ATT&CKのテクニックが割り当てられているイベントのみを表示できます。MITRE ATT&CKの戦術に従ってフィルタリングするには、必要な戦術のテクニックをすべて選択する必要があります。テクニックのリストにはすべてのMITRE ATT&CKテクニックが含まれるわけではなく、異常検知システムが検知できるテクニックのみが含まれることに注意してください。

• アプリケーション: ソース/ターゲットIPアドレスが、選択したアプリケーションに関連付けられている場合のみ、イベントが表示されます。

視覚化の対話

ズーム

視覚化でズームインするには、グラフで直接左マウスボタンを使用して、要求された期間を選択します。視覚化の右上にある[取り消し]アイコンと[やり直し]アイコンを使用すると、目盛の変更間を移動できます。[+]および[-]と内部に表示されている虫眼鏡アイコンを使用すると、スイムライン上にある色付き長方形のサイズを変更できます。