エクスペリエンス監視異常の分析

この記事では、XDR ストーリーワークベンチおよびストーリードリルダウンページを使用して、エクスペリエンス監視異常エンジンによって検出された異常な動作のXDR ストーリーを分析する方法を説明します。

使用中の記事ワークベンチについてさらに詳しくは、XOps 検知と対応ストーリーのレビューを参照してください。

概要

カトの XDR サービスは、エクスペリエンス監視を基にして異常な活動を検出します。これにより、アプリケーションまたはネットワークのアプリケーションへのパフォーマンスに問題がある可能性があります。エクスペリエンス異常エンジンは、最初の 14 日間、各サイトおよび各アプリケーションのネットワークトラフィックを監視して分析し、各新しいアプリケーションのベースラインを確立するために、最初のバイトまでの時間 (TTFB) に基づいています。

その期間後、エンジンは前日のデータに基づいて毎日1回実行され、ベースラインからの大幅な偏差があるかどうかを確認します。異常が発生した場合は、ストーリーが生成されます。

注意

注: 同じ日に複数の偏差が発生した場合、それらすべてに対して1つのストーリーのみが生成されます。

ベースラインが確立された後でも、毎日のデータで更新される動的な測定基準です。つまり、初期ベースラインは最初の 14 日後に確立されますが、翌日のデータと共に変化し続けます。

異常エンジンがストーリーを生成すると、XDR インシデント検出でそれをレビューし、ストーリーデータのさらなる分析のために詳細を深掘りすることができます。

エクスペリエンス異常ストーリー表示

これらは、エクスペリエンス監視異常エンジンによって検出された異常な行動の表示であり、ストーリーを生成するための指標です：

表示	説明
サイトにおけるアプリケーション応答時間異常	特定のサイトにおけるアプリケーションの最初のバイトまでの時間(TTFB)メトリックに関する異常を検出します。
広範なHTTPエラーによる潜在的なアプリケーション停止	Catoグローバルバックボーンを通じたトラフィックにおける特定アプリケーションのHTTP失敗と成功の比率に関する異常を検出します。

エクスペリエンス監視異常ストーリーの詳細分析と分析

XDR インシデント検出でエクスペリエンス異常のストーリーをクリックすると、より深く掘り下げて、ストーリーデータの詳細を別のページで調査できます。このページには、インシデントの調査を開始するための追加情報が含まれています。

エクスペリエンス異常ストーリーの表示

XDR インシデント検出ページでエクスペリエンス異常ストーリーをクリックして、UEBA ストーリーの詳細を表示します。

ストーリーワークベンチページを表示するには：

ナビゲーションメニューから、ホーム > XDR インシデント検出 をクリックします。
プロデューサーの下で、エクスペリエンス異常を選択します。

エクスペリエンス異常ウィジェットを理解する

これらはエクスペリエンス異常ストーリーのためのウィジェットです：

アイテム	名前	説明
1	ストーリーの概要	ストーリーに関する基本情報の概要、含む：異常名称検出された問題のインディケーションストーリーを生成したエンジンストーリーが発生した送信元サイトサイトが通信していたアプリケーションストーリーの状態
2	詳細	ストーリーに関する基本的な詳細、含む：説明と概要最初のシグナル - 異常に関連する最初の信号（トラフィックフロー）の時間作成日付 - ストーリーが生成された時間最終更新 - 最新のストーリー更新の時間、例えば新しい対象または変更された判定類似のストーリー - サイトやアプリケーションなど、類似の詳細を持つストーリーを表示します。
3	エクスペリエンス異常ウィジェット	ストーリーの日におけるアプリケーションエクスペリエンスの視覚的表示
4	接続詳細ウィジェット	接続経路の異なるノードにおける可能な問題についての情報を提供します

異常の調査

異常に関する基本情報、含む、サイト、アプリケーション、および時間を取得したら、エクスペリエンスモニタリングウィジェットを使ってストーリーをさらに調査できます。

例えば、アプリケーションでフィルタをかけ、アプリケーションパフォーマンスタブを使用して、異常時に発生した可能性のある問題に関するさらなる情報を表示することができます。さらに、トンネルタブを使用して、トンネルに問題があるかどうか、またはホストタブでアプリケーションにアクセスしているユーザーの数が突然増加したかどうかを確認し、それがエクスペリエンスの劣化を引き起こした可能性があります。