[Alerts (アラート)] ページの上部の [Search (検索)] テキスト ボックスでは、デバイス、
アプリケーション、特定のアラート、およびキーワードに基づいてアラートを検索できます。
すべてのアラートを表示するには、[Search (検索)] テキスト ボックスを空にしたまま Enter キーを押します。
表示される検索結果は、ページ上部の [Time(時間)] ドロップダウン メニューで指定さ れた時間枠に基づきます。時間枠の設定には、3 時間、1 日、1 週間、2 週間、1 か月、3 か月、全期間、またはカスタム設定を指定できます。
検索テキスト ボックスに⼊力を開始すると、テキスト ボックスにキーワードの候補が表 示されます。これらのキーワードはキーと値のペアの⼀部です。キーワードの候補を選択 するには、キーボードの Tab キーまたは右向き矢印を押します。または、キーワード全 体を⼊力し、その後にコロンを付ける方法もあります。選択可能な値のリストがテキスト ボックスの下に表示されます。
ヒント
アラートの視覚的表現を表示する方法については、“ アラートの視覚的表示 ” を参照してください。
選択したら、Enter キーを押してキーと値のペアを選択します。キーと値のペアを選択す ると、検索結果が返されるまでの時間が短くなります。
検索テキスト ボックスにキーと値のペアを複数⼊力した場合、AND 演算子が自動的にキ ーと値の各ペアの間に設定されます。AND 演算子を OR または NOT に変更できます。
検索の名前を⼊力すると、検索テキスト ボックスには保存した検索も表示されます。
たとえば、次の画像に示す 2 つのキーと値のペアでは、Windows オペレーティング シス テムを実⾏しているデバイスで発生した、COMMON_WHITE_LIST レピュテーションを持 つすべてのアラートが返されます。
アラート ページのキーと値のペアを次の表に示します。
表 7: アラート ページのキーと値のペア
キー 定義 例
application name
(アプリケーショ ン名)
アプリケーションの名前。 Chrome.exe、cmd.exe、
python.py
application hash
(アプリケーショ ン ハッシュ)
アプリケーションの SHA256 ハ ッシュ。
8c5996dd3348f351f892f887882 3e1952f468c6b4cf38d20e9f7a0f 96d767630
incident ID
(インシデント ID)
アラートの⼀意の識別子。 XZUJKYJ1
priority score
(優先度スコア)
イベントの重要度レベル (1 〜 10)。詳細について
は、“Priority score (優先度ス コア)” を参照してください。
3, 4
device ID
(デバイス ID)
デバイスの⼀意のシステム識別 子。
37668
operating system
(オペレーティン グ システム)
デバイスのオペレーティング シ ステム (Microsoft Windows ま たは macOS)。
Windows
email address
(E メール アドレ ス)
デバイスを登録したユーザーの E メール アドレス。
someone@example.com
policy
(ポリシー)
ポリシーの名前。 Standard
TTP Cb Defense によって分類された 脅威の痕跡。“TTP のリファレン ス ” を参照してください。
FILE_DROP、
RUN_ANOTHER_APP
キーと値のペアをオフに切り替えるには、[Enable Advanced Search (⾼度な検索の有 効化)] ボタンをクリックします。キーと値のペアをオンに切り替えるには、[Disable Advanced Search (⾼度な検索の無効化)] をクリックします。
キーフレーズや語句の基本的な検索を実⾏できます。単⼀の語は、特殊文字を使用せずに
⼊力できます。複数の語やフレーズは、引用符で囲む必要があります。これにより、CB Defense は、複数の語やフレーズを、複数の検索語句ではなく、単⼀の検索語句として理 解します。
検索時、1 つ以上の語句がアラートで⾒つかる場合があります。これには、イベント ID、
イベントの説明、さまざまな攻撃⼿口(TTP)、イベント サマリーの情報などの項目の検 索が含まれます。
アプリケーションについては、アプリケーション名、ハッシュ、レピュテーションなどの 項目の検索が可能です。デバイスについては、デバイス名、ポリシー、オペレーティング システム、ユーザー (センサー登録時に使用された E メール アドレス) などの項目の検 索が可能です。ネットワークについては、オンプレミス、オフプレミス、IP アドレス、ポ ート、接続タイプの検索が可能です。
イベント、アプリケーション、デバイス、またはネットワーク情報の⾼度な検索機能を実
⾏できます。検索にはブール演算子とワイルドカードを使用できます。検索では、⼤文字 と小文字は区別されません。
検索では、複数の語句を組み合わせることができます。論理演算子を使用して、検索の照 合時に満たす必要がある特定の条件を指定できます。
• OR は、指定したいずれかの条件が true の場合に結果を表示します。たとえば、ドメ イン名と IP アドレスを OR で結んで検索します。
• AND は、両方の条件が true の場合に結果を表示します。たとえば、ポートとプロト コルを AND で結んで検索したり、アプリケーションとアプリケーション実⾏元のデ バイスを AND で結んで検索したりできます。
reputation
(レピュテーショ ン)
Cb Defense によって識別された アプリケーションのレピュテー ション。
TRUSTED_WHITE_LIST
threat source
(脅威のソース)
イベントまたはアラートのトリ ガー元のベクター。
app_store、removable media、
other_net_protocol、
remote_drive、web、email threat category
(脅威カテゴリ)
Cb Defense によって識別された 脅威のカテゴリ。
non_malware、malware
policy applied
(ポリシー適用済 み)
ポリシーが監視対象の⼀連のイ ベントに適用されたかどうかを 示します。
APPLIED、NOT_APPLIED
注意
キーと値のペアの使用は推奨であり、必須ではありません。クエリの作成に、
キーと値のペアを使用する必要はありません。
キー 定義 例
• NOT は、条件を除外して検索します。たとえば、KNOWN_ MALWARE を検索すると きに zbot.exe マルウェアを NOT で結ぶと、zbot.exe を除くすべての既知のマルウェ アが返されます。
最初の 3 文字以上に続くアスタリスクを 1 文字以上に対応するワイルドカードとして使 用できます。末尾の疑問符は、疑問符の代わりの 1 文字を含むフレーズと⼀致します。
簡易検索例 : powershell*
この検索を実⾏すると、"PowerShell" を含むすべてのアラートが返されます。
⾼度な検索例 :
"github.com" OR "192.198.55.55"?TCP AND 443? OR?UDP AND 80?
KNOWN_MALWARE AND NOT zbot.exe
この検索を実⾏すると、発信元が github.com または IP アドレス 192.198.55.55 のポート 443 またはポート 80 の UDP であり、zbot.exe を除く既知のマルウェアのアラートが すべて返されます。
クエリを⼊力した後、Enter キーを押します。
テーブル内の検索結果が検索パラメーターに従って更新されます。検索は累積的に⾏わ れるため、検索を複数回実⾏する場合は、新しい検索を開始する前に [Clear All (すべて を消去)] をクリックします。ページ上部の [Save(保存)] ボタンをクリックすると、検 索を保存できます。