IOA (Indicators of Attack) ダッシュボード

適用対象：WatchGuard EPDR、WatchGuard EDR

IOA (Indicators of Attack) ダッシュボードにより、Threat Hunting Services の検出における可視性が得られます。いくつかのタイルに、重要情報および詳細情報への有用なリンクが表示されます。

期間セレクタ

ダッシュボードには、管理者が選択した期間の情報がページ上部のドロップダウンリストに表示されます。

以下の期間のいずれかを選択することができます。

過去 24 時間
過去 7 日間
過去 1 ヵ月間

IOA (Indicators of Attack) ダッシュボードには、以下のタイルが含まれています。

Threat Hunting Service
検出の進捗
MITRE マトリックスにマッピングされた IOA (Indicators of Attack)
検出済み IOA (Indicators of Attack)
コンピュータ別の IOA (Indicators of Attack)

タイルをクリックすると、詳細情報が表示されます。

Threat Hunting Service

Threat Hunting Service タイルには、ネットワークのすべてのコンピュータとデバイスの指定期間におけるイベント、インジケータ、IOA の概要が表示されます。これにより、侵入の試みの有無を判断することができます。

イベント — WatchGuard EPDR または WatchGuard EDR の保護対象および監視対象コンピュータにインストールされているプログラムで実行されたアクションの数。
インジケータ — イベントデータフローで検出された不審なイベントパターンの数。
IOA (Indicators of Attack) — 攻撃の可能性が高いインジケータの数。

リストを開くには、IOA (Indicators of Attack) の数をクリックします。詳細については、IOA (Indicators of Attack) を参照してください。

RDP プロトコル経由で攻撃を受けたコンピュータのリストを表示するには、すべて表示する をクリックします。
コンピュータの保護ステータスリストが開きます。各行には赤い RDP アイコンが表示されます。これは、コンピュータが RDP 攻撃隔離モードになっていることを示すものです。詳細については、RDP 攻撃隔離モードを参照してください。

検出の進捗

検出の進捗タイルには、インジケータ、保留中の IOA、アーカイブされた IOA の数を時系列で示す折れ線グラフと棒グラフが含まれています。

インジケータ — 受信したイベントフローで検出された不審なパターンの数。
保留中の IOA — IOA に該当する可能性が高い不審なパターンの数。管理者により IOA が分析または解決されていないものが対象となります。
アーカイブされた IOA — 管理者が分析または解決し、アーカイブ済みとしてマーク付けした IOA の数。

左側の Y 軸は、検出済みの IOA で保留中およびアーカイブ済みのものの数を示しています。右側の Y 軸は、検出されたインジケータの数となります。

IOA (Indicators of Attack) リストを開くには、タイルをクリックします。詳細については、IOA (Indicators of Attack) を参照してください。

MITRE マトリックスにマッピングされた IOA (Indicators of Attack)

MITRE ATT&CK™ とは、攻撃の戦術とテクニックを分類するための業界標準のフレームワークです。脅威ハンターが組織へのリスクを評価するためにこれが使用されます。IOA ダッシュボードのこのタイルには、指定期間中に検出された IOA の数が MITRE 戦術とテクニックで整理された表で表示されます。

テクニックの名前とコードまたは検出の総数を表示するには、列またはボックスをポイントします。列見出しが戦術です。テクニックが戦術の下に表示されます。

赤の丸をポイントすると、保留中の IOA が表示されます。

戦術またはテクニックをクリックして、戦術でフィルタリングされた、または戦術とテクニックでフィルタリングされた IOA (Indicators of Attack) リストを開きます。詳細については、IOA (Indicators of Attack) を参照してください。

検出済み IOA (Indicators of Attack)

検出済み IOA (Indicators of Attack) タイルには、指定期間中に検出された IOA の分布が種類別に表示されます。検出された特定種類の IOA が増えるにつれて、タイル内のボックスが大きくなります。

コンピュータ別の IOA (Indicators of Attack)

コンピュータ別の IOA (Indicators of Attack) タイルには、期間中に発生したネットワークの各コンピュータの IOA の分布が表示されます。

フィルタリングされた IOA (Indicators of Attack) リストを開くには、コンピュータのボックスをクリックします。詳細については、IOA (Indicators of Attack) を参照してください。