イベント詳細

[イベント詳細]ビューは、検出されたイベントの行末にある3点のアイコンをクリックすることで有効化できるコンテキストメニューから利用可能です。[イベント詳細]ビューは、検出されたイベントのIDをクリックして開くこともできます。イベント詳細には、イベントに関連して利用可能なすべての情報が含まれます(詳細については、以下のセクションを参照してください)。

イベント関連のアクション

イベント詳細ウィンドウのヘッダーには、以下のアクションを実行できるボタンがあります。

• イベントIDのコピー: イベントIDがクリップボードにコピーされます。

• ドックウィンドウ: イベント詳細が新しいADSタブで開きます。

• 3つの点: イベントに関するコンテキストメニューが開きます。このコンテキストメニューは、Anomaly Detection Systemによって検知されたイベントでのみ利用できます。

イベント詳細の情報

イベント詳細で利用可能な情報は、イベントがAnomaly Detection Systemによって検知されたか、IDSコレクタによって受信されたかによって異なります。どちらのタイプのイベントも以下の情報を共有します。

• タイプ: イベントのタイプ。イベントを検知した検知メソッドの参考、または(検知が実行された)シグネチャが属するIDSカテゴリの名前になります。

• 詳細: イベントの詳細情報。

• 検知時間: 特定のイベントが検出された日付と時刻。

• 最終更新日: 特定のイベントが最後に更新された日付と時刻。

• 最初のフロー: イベント詳細の基準となった最初のフローのタイムスタンプ。

• イベントソース: イベントの発生源(IPアドレス)。

• ユーザID: ドメインコントローラから取得されたユーザID (詳細については、Flowmonコレクタの文書を参照してください)。

以下の情報は、Anomaly Detection Systemによって検知されたイベントでのみ利用できます。

• サブタイプ: イベントを検知したメソッドのサブタイプの名前。このフィールドには、検知されたイベントの意味を説明するために、サブタイプの説明も含まれています。

• MITRE ATT&CK: 検知されたイベントに割り当てられたMITRE ATT&CK戦術およびテクニックに関する情報を提供します(詳細については、「MITRE ATT&CKフレームワーク」の章を参照)。MITRE ATT&CK戦術/テクニックの名前はクリック可能です。クリックすると、外部ページへのリダイレクトを警告するプロンプトが表示されます。選択した戦術/テクニックの説明があるMITRE ATT&CKフレームワークの公式ページにリダイレクトされます。このプロンプトを無効にして、今後のリダイレクトで表示されないようにすることができます(再び有効にするには、**[設定] → [システム設定] → [ユーザ設定]**を選択します。「ユーザ設定」の章を参照してください)。

• 取得されたソースホスト名: イベント検知時にIPアドレスに割り当てられているDNS名。

• MACアドレス: イベントソースのIPに関連して検知された(最も多く使用されている) MACアドレス。

• Probability: イベント検出率。

• 誤検知除外: イベントが誤検知かどうかを識別します(イベントを誤検知除外としてマークするための、現在有効なルールに従います)。イベントを誤検知除外としてマークするには、コンテキストメニューの*[誤検知除外としてマーク]*オプションを使用します。イベントをマークするとき、誤検知除外ルールの期限を入力する必要があります(個々の曜日、期間)。イベントを誤検知除外としてマークすると、誤検知除外ルールが有効な場合は同じタイプおよび発生源を持つイベントが生成されなくなります。

• インスタンスにより検知: イベントを生成した検知メソッドのインスタンスの名前。

• データフィード: イベントが生成されたFlowデータソース。

以下の情報は、IDSコレクタが受信したイベントでのみ使用できます。

• 送信元ポート: 検知が実行された通信の送信元ポート。

• 宛先ポート: 検知が実行された通信の宛先ポート。

• ログの送信元インターフェース: イベントが検知されたインターフェースの名前。

• ログの送信元IPアドレス: イベントが検知された送信元のIPアドレス。

一部の情報はタブに構成されています。同様に(上記のように)、それらの一部は両方のイベントタイプ(Anomaly Detection Systemによって検知されたものとIDSコレクタが受信したもの)で使用できます。これらは以下のとおりです。

• ターゲット: イベントのターゲット(IPアドレスのリスト)。ターゲットは個々の国、アドレスプレフィックス、またはアプリケーションごとにグループ化できます。

• 属性: 各イベントを構成する属性は、検知されたイベントに関する追加情報を提供します。属性は、イベントメソッドとイベントタイプ(Anomaly Detection Systemによって検知されたもの、またはIDSコレクタが受信したもの)によって異なる場合があります。ADSイベントの重要な属性は、[詳細]フィールドに表示されるテキスト文字列にも含まれています。

• 関連のIDSイベント: ADSイベントに関連する可能性のある、IDSコレクタモジュールからのイベントが表示されます。デフォルトでは、ADSモジュールのイベントの送信元IP ([送信元IPで検索]オプション)がIDSイベントの検索に使用されます。ADSイベントの送信元IPがIDSイベントの送信元IPまたは宛先IPと等しい場合、そのIDSイベントが選択されます。同様に、ADSイベントのターゲットIPを基準にIDSイベントを検索できます([送信先IPで検索]オプション)。ADSイベントの宛先IPがIDSイベントの送信元または宛先IPと等しい場合、そのIDSイベントが選択されます。どちらのオプションも選択しない場合、任意の送信元IPまたは宛先IPを持つIDSイベントが選択されます。IDSイベントは検知時間±10分の期間で検索されます。

Anomaly Detection Systemによって検知されたイベントでのみ利用できるタブは以下のとおりです。

• コメント: 各イベントにコメントを添付できます。コメントは時系列順に並びます。コメントには必ず作成者(ユーザ)とコメント挿入のタイムスタンプ(時刻)が含まれています。作成者と現在ログインしているユーザによっては、コマンドを変更(鉛筆アイコン)または削除(ごみ箱アイコン)できます。いつでも新しいコメントを追加できます(新規コメント)。

• カテゴリ: イベント詳細には、イベントカテゴリも含まれています。カテゴリには必ず作成者(ユーザ)およびタイムスタンプ(時刻)が含まれています。個々のカテゴリを削除または追加できます(*[カテゴリの管理]*ボタンを使用)。イベントカテゴリの管理は、コンテキストメニューの[イベントカテゴリの管理]オプションからも利用可能です。

• イベント証跡: イベントが検知されたフローが表示されます。詳細については、「イベント証跡」の章を参照してください。

IDSコレクタが受信したイベントでのみ使用できるタブは以下のとおりです。

• 関連フロー: IDS コレクタが受信したイベントは、(Flowデータを使用するAnomaly Detection Systemとは対照的に)フルパケットキャプチャアプローチに基づいて検知されます。したがって、[関連フロー]セクションには、検知が実行されたパケットに対応するフローが表示されます。