ThreatSync+ トラフィックを調査する

適用対象: ThreatSync+ NDR, ThreatSync+ SaaS 

トラフィック ページには、強力な検索機能とフィルタ インターフェイスが備わっています。これにより、ネットワークのアクティビティをより詳細に調査することができます。ThreatSync+ UI の他いくつかの場所からトラフィック ページを開くことができます。他のページからトラフィック ページに移動すると、フィルタが自動的に適用され、その前に表示していた Smart Alert、動作、ポリシー アラート、資産、ノードに関する詳細が表示されます。

Screenshot of the Traffic page in ThreatSync+ NDR

トラフィック ページには、以下のコンポーネントが備わっています。

  • アクティビティ フィルタ制御
  • アクティビティ チャート
  • 詳細なアクティビティ記録
  • 既知のアクター ペイン

アクティビティ フィルタ

アクティビティ フィルタを使用することで、表示するアクティビティの種類を選択することができます。これにより、選択したデータとトラフィック フィルタに基づいて結果を絞り込むことが可能となります。

Screenshot of the Activity Filters on the Traffic page

特定のアクティビティ フィルタを使用して、ページに表示される情報をフィルタリングすることができます。

アクティビティ フィルタの詳細については、以下のセクションを参照してください。

データ送信元

Firebox または ThreatSync+ NDR 収集エージェントからのトラフィック ログまたは NetFlow フィードがコレクターで受信されると、以下のデータ ソースを確認できるようになります。

  • NetFlow フロー数
  • NetFlow パケット数
  • NetFlow バイト数
  • ThreatSync+ NDR によって生成された異常イベント

データ フィルタ

使用できるデータ フィルタは、選択されているデータ ソースの種類によって異なります。下表には、それぞれのデータ ソースで使用できるフィルタが示されています。

データ フィルタ 説明 NetFlow データ送信元 イベント データ送信元
ポート番号 アプリケーション ポート番号。これは通常、要求元が応答側と通信する際に使用される送信先ポートです。 はい (TCP と UDP の場合) はい
通信 通信の性質を示す NetFlow ログのプロトコルの種類、フラグ、時間に基づいて、ThreatSync+ NDR によって計算されます。値は、プロトコルが ICMP、TCP、UDP のいずれであるか、およびフローが双方向通信の一部であるか、または無応答かを示します。 はい はい
異常の種類 ThreatSync+ NDR 分析エンジンによって生成された異常イベントの種類。 いいえ はい

それぞれのフィルタの種類は、以下のように構成することができます。

  • 選択されている 1 つまたは複数の値のすべてのアクティビティ記録を含めます。
  • 選択されている値を除き、すべてのアクティビティ記録を含めます。
  • 異常の種類のデータ フィルタの場合は、以下の異常の種類が 1 つまたは複数選択されている場合に、アラート重大度の尺度を編集することができます。
    • 資産からの大量の送信
    • 資産への大量の送信
    • 資産からの大量のパケット送信
    • 資産への大量のパケット送信
    • 多数のホストへのデータ送信
    • 多数のホストからのデータ送信
    • 多数の都市へのデータ送信
    • 多数の都市からのデータ送信
    • 異常な送信接続期間
    • 異常な受信接続期間
    • 受信バイトに対する送信バイトの比率が高い
    • 送信バイトに対する受信バイトの比率が高い
    • 受信パケットに対する送信パケットの比率が高い
    • 送信パケットに対する受信パケットの比率が高い
    • 受信バイトの割合が高い
    • 送信バイトの割合が高い
    • 受信パケットの割合が高い
    • 送信パケットの割合が高い
    • 受信フロー数が多い
    • 送信フロー数が多い
    • 異常な割合のフローあたりの受信バイト
    • 異常な割合のフローあたりの送信バイト
    • 受信パケットに対する受信バイトの比率が高い
    • 送信パケットに対する送信バイトの比率が高い
    • 不審な高スループットの DNS トンネル
    • 不審な低スループットの DNS トンネル
    • 異常な合計送信接続期間
    • 異常な合計受信接続期間
    • 異常な数の異常イベント

詳細については、次を参照してください:ポリシーのアラート重大度の尺度を編集する

また、時間フィルタを使用して、アクティビティを表示する時間範囲を指定することができます。

トラフィック セット

トラフィック セットを使用して、アクティビティ記録の送信元アドレスと宛先アドレスをフィルタリングすることができます。NetFlow とイベント記録にはそれぞれ、送信元識別子と宛先識別子のセットが含まれています。送信元と宛先 IP アドレス フィールドは、監視対象のデータ トラフィックから直接取得されます。

アクティビティ記録の追加フィールドには、ThreatSync+ によって環境または信頼済みインターネット ネーミング サービスから収集されたメタデータが入力されます。各データ フローのすべての IP アドレスには、以下のフィールドが入力されます。

  • 国名
  • 場所名
  • ドメイン名
  • 組織名
  • 資産名
  • 内部または外部ネットワーク ゾーン

トラフィック セットは、送信元と宛先の間の要求と応答のアクティビティを表しています。送信元と宛先は、特定の国名、場所名、ドメイン名、組織名、資産名、またはネットワーク ゾーンに一致する個々の IP アドレスまたは IP アドレスのグループとして定義されます。

トラフィック セットには、以下が含まれます。

  • 送信元から宛先への要求アクティビティ
  • 宛先から送信元への応答アクティビティ

トラフィック セット フィルタを追加する

トラフィック セットを使用することで、送信元、宛先、トラフィックの方向に基づいて類似のトラフィックをグループ化することができます。これにより、潜在的に異常なアクティビティをより簡単に調査できるようになります。

トラフィック セット フィルタを追加するには、以下の手順を実行します。

  1. トラフィック ページで、トラフィック セット フィルタを追加する をクリックします。
    調査するトラフィック セット フィルタを追加する ダイアログ ボックスが開きます。

Screenshot of the Add a Traffic Set Filter to Investigate dialog box

  1. トラフィック セット フィルタのタイトルを入力します。
  2. 要求元 セクションで、要求元の種類 を選択します。関連付けられるサブタイプを選択します。
  3. 応答側 セクションで、応答側の種類 を選択します。関連付けられるサブタイプを選択します。
  4. (オプション) 種類とサブタイプが同じ別のフィールドを追加するには、追加アイコン をクリックします。
  5. 要求元と応答側のトラフィックの方向を選択するには、矢印をクリックします。既定のトラフィックの方向は、要求元と応答側の間のすべてのアクティビティ となります。
  6. 保存 をクリックします。

IP アドレスのすべてのインバウンド トラフィックとアウトバウンド トラフィックを表示する — 構成例

IP アドレスとの間のすべてのトラフィックを表示するには、2 つのトラフィック セットを作成します。

最初のトラフィック セットを作成するには、以下の手順を実行します。

  1. 要求元 セクションで、要求元の種類IP を選択します。
  2. IP アドレス テキスト ボックスに、IP アドレスを入力します。
  3. 応答側 セクションで、応答側の種類 ドロップダウン リストから、ネットワーク を選択します。
  4. ネットワークの種類を選択する ドロップダウン リストから、内部外部 を選択します。

Screenshot of a traffic set example

2 つ目のトラフィック セットを作成するには、以下の手順を実行します。

  1. 要求元 セクションで、要求元の種類 ドロップダウン リストから、ネットワーク を選択します。
  2. ネットワークの種類を選択する ドロップダウン リストから、内部外部 を選択します。
  3. 応答側 セクションで、応答側の種類 ドロップダウン リストから、IP を選択します。
  4. IP アドレス フィールドに、IP アドレスを入力します。

Screenshot of the second traffic filter example configuration

アクティビティ チャート

アクティビティ チャートには、定義されているトラフィック セットごとに複数の折れ線グラフ一式が表示されます。これは、アクティビティ フィルタで選択されている設定によってフィルタリングされています。

それぞれのグラフ一式を非表示または表示するには、チャートの凡例にある名前をクリックします。

Screenshot of the Traffic Graph on the Traffic page

アクティビティ記録

アクティビティ記録セクションには、選択されている個々の通信フローまたはイベント記録が表示されます。表は、列別に、または昇順か降順で並べ替えることができます。

アクティビティ記録をフィルタリングするには、フィルタ トラフィック テキスト ボックスに、テキストを入力します。これによって、チャートがフィルタリングされることはありません。

Screenshot of the Activity Records section of the Traffic page in ThreatSync+ NDR

特定のアクティビティの詳細を表示するには、アクティビティの横にある 虫眼鏡アイコン をクリックします。

既知のアクター ペイン

既知のアクター ペインを展開するには、トラフィック ページの右上のセクションにある 展開アイコン をクリックします。既知のアクター ペインには、トラフィック セットとフィルタに含まれている IP アドレス、デバイス、ポートに関する情報が表示されます。パネルの各項目を展開すると、その項目に関する詳細情報および詳細へのリンクが表示されます。

Screenshot of the Known Actor pane on the Traffic page

アクティビティ フィルタ セクションで、ポートでフィルタリングすると、既知のアクター ペインにポートを表示することができます。ポート セクションで、項目を展開して、ポートの詳細を表示します。

Screenshot of the Ports section on the Known Actor pane

ポートの詳細を検索する をクリックすると、外部サイトに移動して、ポートの詳細を確認することができます。

関連トピック

ThreatSync+ を監視する

ThreatSync+ 概要ページについて