インシデントグラフ
インシデントグラフには、選択したインシデント(検出、コンピューター、実行ファイル、イベントのタイムラインなど)の対話型ノードグラフが視覚化されます。任意のノードを右クリックすると、そのノードのアクションを含むコンテキストメニューが開きます。ノードは移動および再配置できます。追加のアクションを実行するには、グラフメニューを使用します。
•画面に合わせる - グラフを中央に配置して、すべてのノードを表示します。
•リセット - すべてのノードを初期位置に戻します。
•再描画 - グラフ情報を更新します。
画面の右側には、選択したグラフ要素に関する追加情報が表示されます。
•インシデント - インシデントに関する包括的な詳細。
•タイムライン - インシデントの変更のタイムスタンプ付きの詳細が表示され、選択したタイムラインイベントのグラフノードを強調表示されます。表示する項目を確認します。
o脅威インジケーター - オンにすると、タイムラインに脅威インジケーターが表示されます。
o動作 - オンにすると、タイムラインに脅威の動作が表示されます。
oアナリストアクション - オンにすると、タイムラインにアナリストアクションのリストが表示されます。
•詳細 - グラフで選択した要素に関する包括的な情報。
•プロセスツリー - グラフから選択した要素の位置をプロセスツリーに表示します。
•関連オブジェクト - グラフで選択した要素に関連するオブジェクトのリスト。
インシデントグラフの例を参照してください。
グラフ要素
ノード
|
処理 |
|
ノードには、プロセス名とPIDが含まれています。 |
|
実行ファイル/モジュール |
|
コマンドライン |
|
ファイル |
|
リンク/URL |
|
IP |
|
コンピュータ |
|
ユーザー |
|
ユーザーとコンピューター |
ソースノードは、不審なアクティビティを通知する最初のエンティティであり、その周囲に複数の円がある場合があります。グラフには複数のソースノードを含めることができます。
ノードの色は、ノードに関連付けられている最も高い重大度の検出を示します。
|
情報 |
|
警告 |
|
脅威 |
線
ノード間の線は、ノードを関連付ける検出を表します。太い線は、検出数が多いことを示します。線の数字は検出数を示しています(数字がない場合は、1件の検出を意味します)。
