ホスト別

[ホスト別]ページにはイベントのソースおよびターゲット別にグループ化されたイベントのテーブルビューが表示されます。結果となるテーブルはIPアドレス順にソートされます。各IPアドレスに関する情報は、そのIPアドレスがイベントのソースまたはターゲットとなっているイベントの数で構成されています。したがって、各IPアドレスに関連するイベントタイプのリストを表示できます。特定のイベントは、イベントタイプごとに別のテーブルとして表示できます。このテーブルには、イベントテーブル[イベント] → [簡易リスト]と同じデータが含まれています。

[パースペクティブ]のいずれかが選択されると、結果テーブルのIPアドレスは脅威スコアで補強され、ソートされます。脅威スコアは、ホストがネットワークに与える可能性のある脅威に従ってホストをランク付けするために使用される抽象的な数値です。スコアはイベントの数と優先度、ターゲットの数、使用されたMITREの戦術、異なるメソッドの数などさまざまな側面から計算されます。

データのフィルタリング

[ホスト別]ビューのデータは、対応する検索基準に従ってフィルタリングすることができます。見やすくするため、検索基準は(常に表示される)基本検索基準と、([さらに多くのフィルタ]をクリックすると表示される)高度な検索基準に分かれています。利用可能な検索基準は、次の通りです。

• 日付: イベントを簡易リストに表示する関連期間。期間は直接指定するか、付属のカレンダーから選択できます(カスタム期間)。

• パースペクティブ: 選択したパースペクティブに従って、イベントに優先度を割り当てます。

• IPアドレス: このフィールドで指定したIPアドレスのみ表示されます。IPアドレスを既存のフィルタに追加できます。

  • 単一IPアドレス: IPバージョン4および6の単一IPアドレス(例: 192.168.2.1、2001:db8::beef)または単一IPアドレスのカンマ区切りのリスト

  • ネットワークアドレスまたはマスク: IPバージョン4および6のネットワークアドレスまたはマスク(例: 192.168.1.0/24、fc00::/7)

  • IPアドレス範囲: IPバージョン4および6のIPアドレス範囲(例: 10.0.1.2-10.0.1.10、fe80::-fe80::ffff)

  • IPv4アドレスのワイルドカード表記: (列挙、範囲、すべて)。1つのIPアドレスでは1つのワイルドカードのみ使用できます。例:

    • 192.168.{1,3,20}.1: IPアドレス192.168.1.1、192.168.3.1、192.168.20.1

    • 10.[1-3].0.0: IPアドレス10.1.0.0、10.2.0.0、10.3.0.0

    • **172.16.*.1: 172.16.[0-255].0と同じ

• IPの役割: 上のフィールドのIPアドレスをイベントソース、イベントターゲット、あるいはその両方のいずれで検索するかを指定します。デフォルトのオプションは、両方からの検索です。

• イベントの数: 関連イベント数を基準にIPアドレスをフィルタリングできます。

• データフィード: 指定したデータフィードからのフローの監視で検出されたイベントに関連するIPアドレスのみ表示できます。

• メソッド: 選択した検出方法に一致するイベントのみを表示します。

• フィルタ: 定義済みのフィルタを選択してIPアドレスを指定できます(この基準は、*[IPアドレス]*フィールドと一緒に使用できます)。

• イベントカテゴリ: 選択したカテゴリに含まれるイベントのみ表示できます。

• MITRE ATT&CKテクニック: 選択されたMITRE ATT&CKのテクニックが割り当てられているイベントのみを表示できます。MITRE ATT&CKの戦術に従ってフィルタリングするには、必要な戦術のテクニックをすべて選択する必要があります。テクニックのリストにはすべてのMITRE ATT&CKテクニックが含まれるわけではなく、Anomaly Detection Systemが検知できるテクニックのみが含まれることに注意してください。

• アプリケーション: ソース/ターゲットIPアドレスが、選択したアプリケーションに関連付けられている場合のみ、イベントが表示されます。