アラートの検索

In document cbd-userguide.book (Page 34-37)

[Alerts (アラート)] ページの上部の [Search (検索)] テキスト ボックスでは、デバイス、

アプリケーション、特定のアラート、およびキーワードに基づいてアラートを検索できます。

すべてのアラートを表示するには、[Search (検索)] テキスト ボックスを空にしたまま Enter キーを押します。

表示される検索結果は、ページ上部の [Time(時間)] ドロップダウン メニューで指定さ れた時間枠に基づきます。時間枠の設定には、3 時間、1 日、1 週間、2 週間、1 か月、3 か月、全期間、またはカスタム設定を指定できます。

検索テキスト ボックスに⼊力を開始すると、テキスト ボックスにキーワードの候補が表 示されます。これらのキーワードはキーと値のペアの⼀部です。キーワードの候補を選択 するには、キーボードの Tab キーまたは右向き矢印を押します。または、キーワード全 体を⼊力し、その後にコロンを付ける方法もあります。選択可能な値のリストがテキスト ボックスの下に表示されます。

ヒント

アラートの視覚的表現を表示する方法については、“ アラートの視覚的表示 ” を参照してください。

選択したら、Enter キーを押してキーと値のペアを選択します。キーと値のペアを選択す ると、検索結果が返されるまでの時間が短くなります。

検索テキスト ボックスにキーと値のペアを複数⼊力した場合、AND 演算子が自動的にキ ーと値の各ペアの間に設定されます。AND 演算子を OR または NOT に変更できます。

検索の名前を⼊力すると、検索テキスト ボックスには保存した検索も表示されます。

たとえば、次の画像に示す 2 つのキーと値のペアでは、Windows オペレーティング シス テムを実⾏しているデバイスで発生した、COMMON_WHITE_LIST レピュテーションを持 つすべてのアラートが返されます。

アラート ページのキーと値のペアを次の表に示します。

表 7: アラート ページのキーと値のペア

キー 定義

application name

(アプリケーショ ン名)

アプリケーションの名前。 Chrome.exe、cmd.exe、

python.py

application hash

(アプリケーショ ン ハッシュ)

アプリケーションの SHA256 ハ ッシュ。

8c5996dd3348f351f892f887882 3e1952f468c6b4cf38d20e9f7a0f 96d767630

incident ID

(インシデント ID)

アラートの⼀意の識別子。 XZUJKYJ1

priority score

(優先度スコア)

イベントの重要度レベル (1 〜 10)。詳細について

は、“Priority score (優先度ス コア)” を参照してください。

3, 4

device ID

(デバイス ID)

デバイスの⼀意のシステム識別 子。

37668

operating system

(オペレーティン グ システム)

デバイスのオペレーティング シ ステム (Microsoft Windows ま たは macOS)。

Windows

email address

(E メール アドレ ス)

デバイスを登録したユーザーの E メール アドレス。

someone@example.com

policy

(ポリシー)

ポリシーの名前。 Standard

TTP Cb Defense によって分類された 脅威の痕跡。“TTP のリファレン ス ” を参照してください。

FILE_DROP、

RUN_ANOTHER_APP

キーと値のペアをオフに切り替えるには、[Enable Advanced Search (⾼度な検索の有 効化)] ボタンをクリックします。キーと値のペアをオンに切り替えるには、[Disable Advanced Search (⾼度な検索の無効化)] をクリックします。

キーフレーズや語句の基本的な検索を実⾏できます。単⼀の語は、特殊文字を使用せずに

⼊力できます。複数の語やフレーズは、引用符で囲む必要があります。これにより、CB Defense は、複数の語やフレーズを、複数の検索語句ではなく、単⼀の検索語句として理 解します。

検索時、1 つ以上の語句がアラートで⾒つかる場合があります。これには、イベント ID、

イベントの説明、さまざまな攻撃⼿口(TTP)、イベント サマリーの情報などの項目の検 索が含まれます。

アプリケーションについては、アプリケーション名、ハッシュ、レピュテーションなどの 項目の検索が可能です。デバイスについては、デバイス名、ポリシー、オペレーティング システム、ユーザー (センサー登録時に使用された E メール アドレス) などの項目の検 索が可能です。ネットワークについては、オンプレミス、オフプレミス、IP アドレス、ポ ート、接続タイプの検索が可能です。

イベント、アプリケーション、デバイス、またはネットワーク情報の⾼度な検索機能を実

⾏できます。検索にはブール演算子とワイルドカードを使用できます。検索では、⼤文字 と小文字は区別されません。

検索では、複数の語句を組み合わせることができます。論理演算子を使用して、検索の照 合時に満たす必要がある特定の条件を指定できます。

OR は、指定したいずれかの条件が true の場合に結果を表示します。たとえば、ドメ イン名と IP アドレスを OR で結んで検索します。

AND は、両方の条件が true の場合に結果を表示します。たとえば、ポートとプロト コルを AND で結んで検索したり、アプリケーションとアプリケーション実⾏元のデ バイスを AND で結んで検索したりできます。

reputation

(レピュテーショ ン)

Cb Defense によって識別された アプリケーションのレピュテー ション。

TRUSTED_WHITE_LIST

threat source

(脅威のソース)

イベントまたはアラートのトリ ガー元のベクター。

app_store、removable media、

other_net_protocol、

remote_drive、web、email threat category

(脅威カテゴリ)

Cb Defense によって識別された 脅威のカテゴリ。

non_malware、malware

policy applied

(ポリシー適用済 み)

ポリシーが監視対象の⼀連のイ ベントに適用されたかどうかを 示します。

APPLIED、NOT_APPLIED

注意

キーと値のペアの使用は推奨であり、必須ではありません。クエリの作成に、

キーと値のペアを使用する必要はありません。

キー 定義

NOT は、条件を除外して検索します。たとえば、KNOWN_ MALWARE を検索すると きに zbot.exe マルウェアを NOT で結ぶと、zbot.exe を除くすべての既知のマルウェ アが返されます。

最初の 3 文字以上に続くアスタリスクを 1 文字以上に対応するワイルドカードとして使 用できます。末尾の疑問符は、疑問符の代わりの 1 文字を含むフレーズと⼀致します。

簡易検索例 : powershell*

この検索を実⾏すると、"PowerShell" を含むすべてのアラートが返されます。

⾼度な検索例 :

"github.com" OR "192.198.55.55"?TCP AND 443? OR?UDP AND 80?

KNOWN_MALWARE AND NOT zbot.exe

この検索を実⾏すると、発信元が github.com または IP アドレス 192.198.55.55 のポート 443 またはポート 80 の UDP であり、zbot.exe を除く既知のマルウェアのアラートが すべて返されます。

クエリを⼊力した後、Enter キーを押します。

テーブル内の検索結果が検索パラメーターに従って更新されます。検索は累積的に⾏わ れるため、検索を複数回実⾏する場合は、新しい検索を開始する前に [Clear All (すべて を消去)] をクリックします。ページ上部の [Save(保存)] ボタンをクリックすると、検 索を保存できます。

In document cbd-userguide.book (Page 34-37)