イベント詳細

[イベント詳細]ビューは、検出されたイベントの行末にある3点のアイコンをクリックすることで有効化できるコンテキストメニューから利用可能です。[イベント詳細]ビューは、検出されたイベントのIDをクリックして開くこともできます。イベント詳細には、イベントに関連して利用可能なすべての情報が含まれます(詳細については、以下のセクションを参照してください)。

制御バー

制御バーには、イベントIDと以下のアクションが含まれています。

• イベントIDのコピー: イベントIDの横にあるアイコンをクリックすると、イベントIDがクリップボードにコピーされます。

• ドックウィンドウ: イベント詳細が新しいADSタブで開きます。

イベントヘッダー

イベントヘッダーには、検知メソッドおよびサブメソッド(またはIDSカテゴリの名前)が含まれ、以下のアクションが含まれています。

• 応答の開始: カスタムスクリプトの手動トリガーを許可します。クリックすると、スクリプトの属性を指定するためのウィンドウが開きます。開いているイベントはスクリプトへの入力として提供されます。パースペクティブと優先度のフィールドは空のままです。

  • カスタムスクリプト: 実行されるカスタムスクリプト。スクリプトは、adminユーザが[設定] → [システム設定] → [カスタムスクリプト]でアップロードできます。新しいスクリプトの追加に関する詳細については、カスタムスクリプトガイドを参照してください。
  • パラメータ: カスタムスクリプトのパラメータ(選択したスクリプトに基づく)。
  • スクリプトのログトリガー: スクリプトの実行はイベントコメントとしてログに記録されます。[設定] → [システム設定] → [一般設定]でイベントカテゴリが非adminユーザに許可されている場合、adminユーザまたは非adminユーザはこれを使用できます。コメントが見えるように、イベント詳細を再度読み込む必要があります。

• 誤検知除外としてマーク: 開いているイベントに基づいて、事前に入力されたパラメータを使用して誤検知除外ルールを作成することができます。

イベントラベル

イベントヘッダー内に、検知メソッドおよびサブメソッドの名前の横に表示される可能性のある2つのラベルがあります。

• 誤検知除外: このラベルは、イベントが誤検知除外と見なされた場合に表示されます(イベントを誤検知除外としてマークするための、現在有効なルールに従います)。イベントを誤検知除外としてマークするには、コンテキストメニューの[誤検知除外としてマーク]オプションを使用するか、イベント詳細のボタンを使用します。イベントをマークするとき、誤検知除外ルールの期限を入力する必要があります(個々の曜日、期間)。イベントを誤検知除外としてマークすると、誤検知除外ルールが有効な場合は同じタイプおよび発生源を持つイベントが生成されなくなります。

• 確率: このラベルは、検知された振る舞いが実際のイベントである確実性が100%を下回る場合に表示されます。

イベント詳細の情報

イベント詳細で利用可能な情報は、イベントがAnomaly Detection Systemによって検知されたか、IDSコレクタによって受信されたかによって異なります。どちらのタイプのイベントも以下の情報を共有します。

• 詳細: イベントの詳細情報。

• 検知時間: 特定のイベントが検出された日付と時刻。

• 最終更新日: 特定のイベントが最後に更新された日付と時刻。

• 最初のフロー: イベント詳細の基準となった最初のフローのタイムスタンプ。

• 期間: 検知時間と最終更新時間の間の期間。

• イベントソース: イベントの発生源(IPアドレス)。

• ユーザID: ドメインコントローラから取得されたユーザID (詳細については、Flowmonコレクタの文書を参照してください)。

以下の情報は、Anomaly Detection Systemによって検知されたイベントでのみ利用できます。

• 取得されたソースホスト名: イベント検知時にIPアドレスに割り当てられているDNS名。

• MACアドレス: イベントソースのIPに関連して検知された(最も多く使用されている) MACアドレス。

• インスタンスにより検知: イベントを生成した検知メソッドのインスタンスの名前。

• データフィード: イベントが生成されたFlowデータソース。

• カテゴリ: イベントに割り当てられたカテゴリ。追加ボタンまたは編集ボタンを使用して、割り当てられたカテゴリを管理できます。

以下の情報は、IDSコレクタが受信したイベントでのみ使用できます。

• 送信元ポート: 検知が実行された通信の送信元ポート。

• 宛先ポート: 検知が実行された通信の宛先ポート。

• ログの送信元インターフェース: イベントが検知されたインターフェースの名前。

• ログの送信元IPアドレス: イベントが検知された送信元のIPアドレス。

タブ

一部の情報はタブに構成されています。同様に(上記のように)、それらの一部は両方のイベントタイプ(Anomaly Detection Systemによって検知されたものとIDSコレクタが受信したもの)で使用できます。これらは以下のとおりです。

• ターゲット: イベントのターゲット(IPアドレスのリスト)。ターゲットは個々の国、アドレスプレフィックス、またはアプリケーションごとにグループ化できます。

• 属性: 各イベントを構成する属性は、検知されたイベントに関する追加情報を提供します。属性は、イベントメソッドとイベントタイプ(Anomaly Detection Systemによって検知されたもの、またはIDSコレクタが受信したもの)によって異なる場合があります。ADSイベントの重要な属性は、[詳細]フィールドに表示されるテキスト文字列にも含まれています。

• イベント視覚化： 対話型のイベント視覚化が表示されます。詳細については、「対話型のイベント視覚化」の章を参照してください。

• 関連のIDSイベント: ADSイベントに関連する可能性のある、IDSコレクタモジュールからのイベントが表示されます。デフォルトでは、Flowmon ADSのイベントの送信元IP ([送信元IPで検索]オプション)がIDSイベントの検索に使用されます。ADSイベントの送信元IPがIDSイベントの送信元IPまたは宛先IPと等しい場合、そのIDSイベントが選択されます。同様に、ADSイベントのターゲットIPを基準にIDSイベントを検索できます([送信先IPで検索]オプション)。ADSイベントの宛先IPがIDSイベントの送信元または宛先IPと等しい場合、そのIDSイベントが選択されます。どちらのオプションも選択しない場合、任意の送信元IPまたは宛先IPを持つIDSイベントが選択されます。IDSイベントは検知時間±10分の期間で検索されます。

Anomaly Detection Systemによって検知されたイベントでのみ利用できるタブは以下のとおりです。

• 情報: このタブには、3つのサブセクションが含まれています。 *概要: 検知されたイベントに割り当てられた、検知されたMITRE ATT&CK戦術およびテクニックに関する情報が含まれるイベントの概要(詳細については、次の「MITRE ATT&CKフレームワーク」セクションを参照)。MITRE ATT&CK戦術/テクニックの名前はクリック可能です。クリックすると、外部ページへのリダイレクトを警告するプロンプトが表示されます。選択した戦術/テクニックの説明があるMITRE ATT&CKフレームワークの公式ページにリダイレクトされます。このプロンプトを無効にして、今後のリダイレクトで表示されないようにすることができます。再び有効にするには、[設定] → [システム設定] → [ユーザ設定]を選択します。詳細については、次の「ユーザ設定」セクションを参照してください。

  • 推奨事項: 検知を検証して、それがセキュリティインシデント、設定ミス、またはその他の問題であるかどうかを判断するためのガイダンスを提供する、一連の推奨事項。
  • アクション: ADSイベントの調査に役立つ一連のアクション。アクションには、FlowmonまたはFlowmon ADSの他の関連部分への直接リンクが含まれています。

• コメント: 各イベントにコメントを添付できます。コメントは時系列順に並びます。コメントには必ず作成者(ユーザ)とコメント挿入のタイムスタンプ(時刻)が含まれています。作成者と現在ログインしているユーザによっては、コマンドを変更(鉛筆アイコン)または削除(ごみ箱アイコン)できます。いつでも新しいコメントを追加できます(新規コメント)。

• イベント証跡: イベントが検知されたフローが表示されます。詳細については、「イベント証跡」の章を参照してください。

IDSコレクタが受信したイベントでのみ使用できるタブは以下のとおりです。

• 関連フロー: IDS コレクタが受信したイベントは、(Flowデータを使用するAnomaly Detection Systemとは対照的に)フルパケットキャプチャアプローチに基づいて検知されます。したがって、[関連フロー]セクションには、検知が実行されたパケットに対応するフローが表示されます。