適用対象: WatchGuard Advanced Reporting Tool および Data Control。
WatchGuard Advanced EPDR、EPDR、および EDR (WatchGuard Endpoint Security) からデータが Advanced Visualization Tool に送信されます。ここで、データが読みやすいデータ テーブルに編成されます。
管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ファイル アクセス情報にアクセス する権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する。
データ テーブルの各行が、WatchGuard Endpoint Security によって監視されるイベントとなります。データは最大 1 年間保持されます。Advanced Visualization Tool により、データ テーブルの情報を検索、参照、分析することができます。
- 使用可能なデータ テーブルのリストを表示するには、左ペインで Data Search (データ検索) を選択します。
テーブルのリストは、Subtype (サブ種類) 列に表示されています。
データ テーブルを開くと、Data Search の下にある左ペインにショートカットが表示されます。ショートカットを選択すると、データ テーブルが速やかに開きます。
グループを見つけ、データに適用されるタグを Technology (技術)、Brand (ブランド)、Type (種類)、および Subtype (サブ種類) の 4 つのレベルに分類します。
WatchGuard Advanced Reporting Tool データに固有のテーブル
こうしたデータ テーブルは、既定で、Subtype タグで利用できるようになっています。各データ テーブルのフィールドについては、次を参照してください:Advanced Reporting Tool — データ フィールド。
alert
このデータ テーブルには、WatchGuard Endpoint Security ダッシュボードの Activity (アクティビティ) タイルに表示されるインシデントに関する情報が含まれています。これには、ネットワークで検出されたそれぞれの脅威が、関与したコンピュータ、インシデントの種類、タイムスタンプ、結果などの情報と共に含まれている行が入っています。
Alerts (アラート) テーブルのいくつかのフィールドを使用して、攻撃に関する貴重な情報を抽出することができます。
- Eventdate — このフィールドでグループ化して、日々の攻撃の数を確認し、進行中の攻撃の有無を判断することができます。
- dwellTimeSecs — 及ぼされた脅威の検出ウィンドウが表示されます。これは、脅威がネットワークで最初に確認されてから分類されるまでの時間範囲となります。
- itemHash — 脅威の名前はセキュリティ ベンダーによって異なるため、itemName の代わりに、ハッシュ フィールドで脅威をグループ化することがきます。これにより、同じ名前のラベルが付いているマルウェアを区別することもできます。
install
このデータ テーブルには、コンピュータへの Endpoint エージェントのインストールに関する情報が記録されます。
monitoredopen
このデータ テーブルには、その種のデータ ファイルへのアクセスには通常使用されないアプリケーションからのアクセスが発生したデータ ファイルが記録されます。
monitoredregistry
このデータ テーブルには、レジストリ変更の試みすべて、およびソフトウェアからレジストリの権限、パスワード、証明書ストア、および同様の情報へのアクセスが発生した際のログが記録されます。
notblocked
このデータ テーブルには、起動時や構成変更時のサービス タイムアウトといった例外的な状況により、WatchGuard Endpoint Security でスキャンが行われなかったアイテムが記録されます。
ops
このデータ テーブルには、ネットワークで認識されるプロセスによって実行されたすべての操作が記録されます。
processnetbytes
このデータ テーブルには、ネットワークで認識されるプロセスのデータ使用量が記録されます。ART により、各プロセスのログが約 4 時間ごとに生成されます。これには、最後のログが送信されてから転送されたデータの量が含まれます。
このテーブルを使用することで、ネットワークのコンピュータで最も多くのデータが使用されているプログラムを確認することができます。このテーブルでは、内部データと外部データの使用が区別されません。プロセスで使用されたデータの合計量には、インターネット経由で要求されたデータと内部サーバー (メール サーバー、イントラネット Web サーバー、ワークステーション間で共有されているファイルなど) から取得されたデータが混在している可能性があります。
registry
このデータ テーブルには、永続化されてコンピュータ再起動後も存続している悪質なプログラムによって使用されたレジストリ ブランチで実行されたすべての操作が記録されます。
このテーブルには、プロセスからレジストリへのアクセスが発生し、オペレーティング システムのブート プロセス時のシステム起動中に読み取られたブランチに影響が及ぼされた場合のログが記録されます。マルウェアにより、こうしたブランチが変更され、起動のたびにこれが実行されるようになります。
多くのレジストリ ブランチは起動時にプログラムが実行できるように構成されていますが、トロイの木馬や他の種類の脅威によって最も一般的に使用されるレジストリ ブランチとして以下が挙げられます。
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
socket
このテーブルには、ネットワークで検知されたプロセスで確立されたすべてのネットワーク接続が記録されます。
toastblocked
このデータ テーブルには、WatchGuard Endpoint Security から適切な分類がまだ返されていないためにブロックされた各プロセスの記録が含まれています。
URLdownload
このデータ テーブルには、ネットワークに存在するプロセスによって実行された HTTP ダウンロードに関する情報 (URL、ダウンロードされたファイル データ、データがダウンロードされたコンピュータなど) が含まれています。
このテーブルには、マルウェアかグッドウェアかに関係なく、ネットワークでユーザーが実行したすべてのダウンロードが表示されます。ダウンロード情報でフィルタリングして、最も多くのダウンロード要求を受信したドメインが示されているグラフを表示することができます。
vulnerableappsfound
このテーブルには、ネットワークの各コンピュータで検出されたすべての脆弱なアプリケーションが記録されます。Ops テーブルの場合は、その oc Exec、oc Name、oVer フィールドにネットワークで実行された脆弱なアプリケーションが表示されますが、このテーブルには、コンピュータにインストールされている脆弱なアプリケーションがすべて表示されます。WatchGuard Endpoint Security から、検出された各アプリケーションの日次ログが送信されます。WatchGuard Endpoint Security でアプリケーションが検出されると、Endpoint エージェントによって関連イベントの送信が停止されます。
このテーブルを使用することで、ネットワークで最も脆弱なアプリケーションが多くインストールされているコンピュータを判断することができます。
WatchGuard Data Control データに固有のテーブル
プロセスにおいて個人識別情報 (PII) が含まれているファイルへのアクセスが発生すると、情報が WatchGuard Data Control サーバーに送信され、そこで読みやすいテーブルに編成されます。
テーブルの各行が、Data Control によって監視されるイベントとなります。これにより、イベントの発生時刻、イベントが発生したコンピュータ、その IP アドレスなどの情報が提供されます。各データ テーブルのフィールドについては、次を参照してください:Data Control Visualization — データ フィールド。
こうしたデータ テーブルは、既定で、Subtype タグを使用して Advanced Visualization Tool で利用できるようになっています。
ops
このデータ テーブルには、PII が含まれているファイルの監視に関連するすべての情報が保存されます。
usrrules
このデータ テーブルには、管理者が定義したルールで指定されているファイルから収集されたすべての情報が保存されます。
usrrulesmail
このデータ テーブルには、管理者が定義したルールで指定されている監視対象のファイルが含まれている電子メール メッセージから収集されたすべての情報が保存されます。
このデータ テーブルには、PII として分類されたファイルが含まれている電子メール メッセージから収集されたすべての情報、および個人データが含まれているファイルの特性が保存されます。