適用対象: WatchGuard Advanced Reporting Tool および Data Control。
WatchGuard Advanced Reporting Tool と WatchGuard Data Control をサポートする運用および分析プラットフォームである Advanced Visualization Tool は、WatchGuard Advanced EPDR、EPDR、および EDR で生成されたデータを取得します。
管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ファイル アクセス情報にアクセス する権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する。
Advanced Visualization Tool を開くには、以下の手順を実行します。
- WatchGuard Cloud で、監視 > Endpoint の順に選択します。
- Status (ステータス) > Advanced Visualization Tool の順にクリックします。
ウィンドウの左ペインが展開され、Advanced Visualization Tool のさまざまな機能エリアが表示されます。アイコンを選択すると、対応するページが表示されます。
ホーム
左ペインで、 を選択します。ホーム ページには、イベント アクティビティ、アラート、統計の概要がリアルタイムで迅速に表示されます。
Last 5 Unread Alerts (最後 5 件の未読アラート)
このタイルには、ドメインでトリガされた最後 5 件のアラートが表示されます。アラートをポイントして、View Alerts Details (アラートの詳細を表示する) を選択すると、アラートの詳細が表示されます。アラートを終了としてマーク付けして、このリストから削除するには、
をクリックします。
Number of Events (イベント数)
このタイルには、時間範囲ドロップダウン メニューから選択された期間に受信されたイベントの合計数が時間別、分別などで表示されます。設定を変更するたびに 
をクリックして、タイルを更新します。行をポイントすると、特定のイベント数と日付が表示されます。
グラフの上でマウスをドラッグすると、選択したエリアをズームすることができます。既定のビューに戻るには、Reset Zoom をクリックします。
Event Volume (イベント容量)
このタイルには、経時的に受信されたイベントの合計サイズが、関連するインデックス付きデータのサイズと共に表示されます。ART で、インデックス付きデータが 24 時間ごとに集計されます。期間を 1 日以下の単位に設定すると、ART でインデックス付きデータが示されなくなります。
既定では、タイルには、過去 30 日間に毎日取り込まれた量が表示されます。時間範囲メニューと期間メニューを使用して、異なる期間や粒度を選択することができます。 をクリックして、タイルを更新します。
グラフのエリアをクリックしてドラッグすると、ズームインすることができます。前のビューに戻るには、Reset Zoom をクリックします。
列をポイントすると、その期間に関する情報の要約が含まれているツールチップが表示されます。
データの種類を表示または非表示にするには、グラフの下にある Index または Data をクリックします。両方のデータの種類が既定で表示されます。
Events by Technology (テクノロジ別のイベント)
このタイルには、受信したイベントの数とサイズが種類とテクノロジ別に表示されます。Time Range (時間範囲) フィールドと Value (値) フィールドを使用して、分析する期間と表示する値を選択します。設定を変更するたびに をクリックして、タイルを更新します。タイルを検索およびフィルタリングして、表示する情報を絞り込むこともできます。
グループ化キーをドラッグアンドドロップしてセルの分布を変更し、各セルをポイントすると、イベントの量とサイズ、およびその割合を確認することが可能です。
Total Daily Volume (毎日の総容量)
このタイルには、過去 12 ヵ月の間に取り込まれてドメインのインデックスに追加された日次のデータの容量が示されているヒート マップ カレンダーが表示されます。
列をポイントすると、その日に取り込まれた総容量が示されたツールチップが表示されます。カラー スケールは動的で、その年の最小サイズと最大サイズが参照値として使用されます。
Live Event Stats (ライブ イベント統計)
このタイルには、現時点の平均取り込み量のレベルが、1 秒あたりのイベント数と 1 秒あたりのデータ容量として表示されます。ゲージは緑、黄、赤で色分けされており、現時点の取り込みレベルが最近の最大レベルとの比較で示されます。現時点の平均値を最近の最小値および最大値と比較した数値が、各ゲージの中に割合 (%) として表示されます。
たとえば、割合が 90% であれば、現時点のレベルが最近の最大値に近いということになります。10% であれば、現時点のレベルが最近の最小値に近いということになります。また、50% であれば、現時点の値が最小値と最大値の中間にあることになります。
期間セレクタを使用して比較する期間を変更し、 をクリックして変更を適用します。
My Favorite Searches (お気に入りの検索)
このタイルには、10 件のお気に入りのクエリのリストが表示されます。10 件以上のクエリをお気に入りに加えると、最後 10 件のクエリのみが表示されます。
Global Stats for All Technologies (すべてのテクノロジのグローバル統計)
このタイルには、すべてのドメイン テーブルで受信したイベントの総容量と数量が表示されます。次を選択することができます:ボロノイ図 Events by Technology (テクノロジ別のイベント) のこのセルを選択すると、評価するテクノロジのみを表示することができます。
Data Search (データ検索)
左ペインで、 を選択します。Data Search ページで、蓄積されたデータを確認して、検索クエリを参照または開くことができます。
Explore Your Data (データを探索する)
Explore Your Data タブで、検索を実行することができます。検索するテーブルに対応するタグを選択します。詳細については、次を参照してください:データ テーブルについて。
Search History (検索履歴)
Search History タブで、以前に実行した検索を参照し、特定の期間でフィルタリングすることができます。詳細については、次を参照してください:Advanced Visualization Tool によるデータ検索。
Lookup Management (ルックアップ管理)
Lookup Management タブには、アクセスしたすべてのルックアップおよびルックアップとそのコンテンツを特定できる情報が表示されます。詳細については、Devo ドキュメント (外部リンク) の最新情報を参照してください。
管理
左ペインで、Administration > Alert Configuration ページの順に選択します。このページでは、アラート、配信方法、アラート ポリシーを管理できます。
Available Alerts (使用可能なアラート)
Available Alerts タブでは、アラートの有効化、無効化、編集、および削除を行うことが可能です。また、アラートに送信ポリシーを割り当てることもできます。詳細については、次を参照してください:使用可能なアラートを管理する。
Delivery Methods (配信方法)
Delivery Methods タブで、アラートの送信方法と送信先を指定します。詳細については、次を参照してください:アラートの配信方法を構成する。
Alert Policies (アラート ポリシー)
Alert Policies タブで、生成されるアラートの送信方法を定義します。これには、配信方法とフラッド対策ポリシーが含まれます。詳細については、次を参照してください:アラートの送信ポリシーを作成して割り当てる。
Advanced Reporting
左ペインで、Advanced Reporting および以下のいずれかのダッシュボードを選択します。
- Security Incidents (セキュリティ インシデント) — ネットワーク全体で検出されたマルウェアのアクティビティおよび Endpoint におけるマルウェアの実行に関する関連情報が表示されます。
- Application Control (アプリケーション制御) — ユーザーのコンピュータで実行されたインストール済みのアプリケーションに関する詳細情報が示されます。
- Data Access Control (データ アクセス制御) — ネットワークのデータ フローに関する情報が表示されます。これにより、データ漏洩や盗難を検出することができます。
Data Control
左ペインで、Data Control および以下のいずれかのダッシュボードを選択します。
- Files and Machines with PII — PII ファイルが入っているワークステーションとサーバー、ネットワークで検出された PII ファイル、およびこれらに対して操作が実行されたプロセスが表示されます。
- User Operations on PII Files — PII ファイルおよび個人データが保存されている物理デバイス (内蔵ハード ドライブや USB ドライブなど) に対してユーザーが実行したアクションが表示されます。
- Risk of PII Extraction — 個人データ侵害につながり得る不審な操作に関する情報が表示されます。
- User Monitored Files — ユーザーが定義した監視ルールに一致するファイルに関する情報が表示されます。
アラート
左ペインで、 を選択します。Alerts ページで、現時点のアラートを確認し、アラートのポスト フィルタを管理することができます。
Alerts Dashboard (アラート ダッシュボード)
Alerts Dashboard タイルでは、動的なグラフを使用して、Alerts History エリアに表示されるアラートの総量を分析することができます。Alerts Overview には、ドメインでトリガーされたアラート数が示されているグラフが含まれています。グラフの種類を以下のいずれかのオプションに変更することができます。
- 折れ線グラフ
- クラスタ化されたタイムライン グラフ
- カレンダー チャート
- ボロノイ図
Alerts History セクションで、ネットワーク上のすべてのトリガーされたアラート数を確認することができます。
Post Filters (ポスト フィルタ)
Post Filters タイルでは、確立されたフィルタのリストを確認すること、またフィルタの一時的な停止や再開または完全な削除を行うことができます。しかし、ポスト フィルタを変更することはできません。その場合は、削除してから再度作成する必要があります。詳細については、次を参照してください:アラートのポストフィルタを作成する。
アラートのフィルタリング
Alerts Dashboard では、さまざまなオプションを使用して、トリガされたアラートをフィルタリングすることができます。ここで選択した内容が、Alerts History と Alerts Overview の両方に適用されます。
- 時間でフィルタリングするには、チャートの上にある時間オプション (1 時間、6 時間、12 時間、1 日、1 週間、1 ヵ月、1 年) をクリックします。
- アラートのステータスに従ってフィルタリングするには、リストの上にある Show Open (開いているものを表示) または Show All (すべてを表示) のオプションをクリックします。
- フィルタ基準として値を使用するには、Status (ステータス)、Alert name (アラート名)、Category - SubCategory (カテゴリ - サブカテゴリ)、Priority (優先度) のいずれかの有効な列の値をクリックします。適用されているフィルタをリセットするには、フィルタを個別に削除する、またはリストの上にある Clear Filter (フィルタのクリア) をクリックします。
Preferences (ユーザー設定)
左ペインで、Preferences を選択して、ユーザー設定を構成します。
ログアウト
左ペインで、このアイコンを選択して、Advanced Reporting Tool からログアウトします。
Data Control Advanced Visualization について