セキュリティ脅威ダッシュボードの使用

この記事では、脅威ダッシュボードを使用してネットワーク内の侵入防御システム (IPS)、DNS保護、およびアンチマルウェアに関連する脅威について迅速な概要を取得する方法について説明します。その後、脅威の種類を深堀し、関連するイベントを簡単に開くことができます。

セキュリティ脅威ダッシュボードの概要

脅威ダッシュボードを使用すると、アンチマルウェアおよび侵入防御システム (IPS) エンジンによって特定されたネットワーク内の悪意のあるおよび疑わしい脅威活動を確認できます。これにはDNS保護も含まれます。ページには脅威活動の可視性を提供するウィジェットがいくつか含まれています。ページでは、脅威フィルターにアイテムを追加して、アカウント内の関連する脅威データとイベントに集中することができます。

フィルターを手動で作成するか、更新フィルターにアイテムを追加すると、脅威ダッシュボードページの脅威データが自動的に更新されます。イベントを表示機能はイベントページを開き、脅威ダッシュボードのフィルターに基づいて関連するイベントを簡単に表示できます。

脅威ダッシュボードの開始

脅威ダッシュボードページでは、指定した期間にわたる脅威活動の合計を表示します。いくつかの列にわたるウィジェットがあります：

一般的なセキュリティエンジン脅威の概要
侵入防御システム (IPS) の脅威の概要
DNS保護の概要
アンチマルウェアの概要

脅威ダッシュボードを表示する方法：

ナビゲーションメニューから、セキュリティ > セキュリティ脅威ダッシュボードをクリックします。

ダッシュボードの使用に関する詳細情報は、Dashboard データを分析するためのフィルタの設定および時間範囲フィルタの設定を参照してください。ダッシュボードの最大日付範囲は90日です。

アイテム	名前	説明
1	イベントフィルターバー	イベントに適用されたフィルターを表示します。 (追加) をクリックしてフィルタの設定を手動で構成してください。
2	時間範囲	ページに表示される脅威データの時間範囲を選択します。
3	脅威ウィジェット	脅威名、タイムライン、および物理ロケーションに基づいた脅威の概要
4	IPSウィジェット	脅威の種類、トップホスト、トップユーザーに基づいたIPSの脅威
5	DNS保護ウィジェット	脅威の種類、トップドメイン、およびトップホストに基づいたDNS保護の脅威
6	アンチマルウェアウィジェット	ファイル名、トップホスト、およびトップユーザーに基づいたアンチマルウェアの脅威

脅威ダッシュボードウィジェットの操作

脅威ダッシュボードウィジェットは、ネットワーク内の不審および悪意のある脅威のハイレベルな概要を提供します。

脅威ウィジェットの理解

脅威ウィジェットは、IPSおよびアンチマルウェアエンジンによって検出された脅威に関する情報を提供します。これらが脅威ウィジェットです：

トップ脅威 - 脅威名と各イベントの数によるトップ脅威を表示します。
脅威のタイムライン - フィルタされた脅威の数を表示します。各脅威の種類は異なる色で表現されます。
- タイムラインにカーソルを合わせ、該当の時間バケットごとの正確な脅威データを表示します。
- 脅威ダッシュボードから除外する脅威の種類をクリックすると、ページが自動的に更新されます。
- 脅威データのより小さな時間範囲を選択するためにマウスを使用し、ページが自動的に更新されます。
トップ国 - インバウンドおよびアウトバウンドトラフィックのトップ物理ロケーションのマップ：
- アウトバウンド - 内部ホストからインターネットへのトラフィックがセキュリティポリシー（IPSエンジン）に違反します
- インバウンド - リモートポートフォワーディング（RPF）を使用して内包の脅威を持つ内部ホストにアクセスするトラフィック（IPSエンジン）
- アンチマルウェア - マルウェアファイルを含むトラフィックで、アウトバウンドとインバウンドの両方を含みます

動的防止ウィジェットを理解する

動的防止ウィジェットは、動的防止がどのように攻撃の表面を減少させたかに関する情報を提供します。適用されたルールと防止された脅威を表示します。詳細については、Dynamic Prevention とはを参照してください。

コントロールが適用されたホスト - 動的コントロールが適用されたホストのリスト。これは、そのホストで潜在的な脅威が特定されたことを意味します。動的防止は、悪意のあるアクションをブロックするために事前にコントロールを適用しました。

ホストをクリックして、適用された脅威とコントロールを表示します。
低減された脅威を持つホスト - 動的コントロールが適用されたホストのリスト。これは、悪意のあるアクションが行われてブロックされたことを意味します。

ホストをクリックして、低減された脅威を表示します。

IPSウィジェットの理解

IPSウィジェットは、IPSエンジンによってブロックされたトラフィックに関する情報と脅威データを提供します。脅威データは、アカウントによって生成されたIPSイベントに基づいています。これらがIPSウィジェットです：

脅威の種類 - IPSの脅威の種類の名前と各種類のイベント数を表示します
トップホスト - 各ホスト（送信元IPアドレス）についてのIPSイベント数を持つトップホストのリストを表示します
トップユーザー - トップユーザーとそのメールアドレスのリストを、各ユーザーについてのIPSイベント数と共に表示します

DNS保護ウィジェットの理解

DNS保護ウィジェットは、DNS保護ポリシーを適用する際にIPSエンジンによって検出されるトラフィックに関する情報と脅威データを提供します。脅威データは、アカウントによって生成されたDNS保護イベントに基づいています。これらはDNS保護ウィジェットです：

脅威の種類 - DNSカテゴリ名および各タイプのイベント数を表示します
トップドメイン - 各ドメインについてのDNS保護イベント数と共にブロックされたトップドメインのリストを表示します
トップホスト - 各ホスト（送信元IPアドレス）についてのDNS保護イベント数を持つトップホストのリストを表示します

マルウェア対策ウィジェットの理解

マルウェア対策ウィジェットは、アンチマルウェアとSentinelOne次世代アンチマルウェアエンジンによってブロックされた悪性ファイルに関する情報と脅威データを提供します。脅威データは、アカウントによって生成されたマルウェア対策イベントに基づいています。これらはマルウェア対策ウィジェットです：

トップファイル - 悪性ファイルのファイル名および各ファイルのイベント数を表示します
トップホスト - 各ホスト（送信元IPアドレス）についてのマルウェア対策イベント数を持つトップホストのリストを表示します
トップユーザー - トップユーザーとそのメールアドレスのリストを、各ユーザーについてのマルウェア対策イベント数と共に表示します