このページの内容
ATP Cloudイベントとログの概要
ATPクラウドイベントページでは、ATPクラウドポリシーに基づくセキュリティイベントに関する情報を表示できます。ATPクラウドのログを分析することで、マルウェア名、実行されたアクション、感染したホスト、攻撃のソース、攻撃の宛先などの情報が得られます。
時間範囲スライダーを使用すると、最も関心のあるアクティビティ領域にすばやく集中できます。時間範囲を選択すると、ビューに表示されるすべてのデータが自動的に更新されます。カスタムボタンを使用して、カスタム時間範囲を設定することもできます。
デフォルトでは、すべてのデバイスのデータを表示できます。特定のデバイスのデータを表示するには、デバイス横にあるリンクをクリックし、デバイスを選択します。
データを表示するには2つの方法があります。概要ビューまたは詳細ビューのいずれかを選択できます。
ATPクラウドイベント—概要ビュー
概要 ビュー をクリックすると、ネットワーク内のすべてのATPクラウドイベントの概要が表示されます。エリアグラフに表示されるデータは、選択した時間範囲に基づいて自動的に更新されます。
ウィジェットを使用して、感染したホストの数、マルウェアの数、送信元の国、宛先の国が多いなどの重要な情報を表示できます。このビューのウィジェットの説明については、 表 1 を参照してください。
ウィジェット |
説明 |
|---|---|
感染したホスト上位 |
関連する脅威レベルとブロックステータスに基づく上位の感染ホスト。 |
上位のマルウェア |
一定期間にわたってマルウェアが検出された回数に基づく上位のマルウェア。 |
送信元の上位国 |
イベント送信元が発信された上位の送信元国。IPアドレス数順にソートされます。 |
上位の宛先国 |
攻撃のターゲットとなる上位の宛先国。宛先IPアドレスの数でソートされます。 |
ATPクラウドイベント—詳細ビュー
詳細ビューをクリックすると、ソート可能な列を含む表形式ですべてのATP Cloudイベントの詳細が表示されます。グループ化オプションを使用してイベントをソートできます。例えば、脅威の重大度に基づいてイベントをソートできます。このテーブルには、イベント名、送信元国、送信元IP、宛先国、マルウェア情報などの情報が含まれています。
レガシーノードオプションは、ログノードページにレガシーログコレクターノードが追加された後、イベントビューアに表示されます。既存のログコレクターデータを表示するための読み取り専用の目的でのみ、従来のログコレクターのサポートを追加しました。新しいログでは、ログコレクターとしてSecurity Director Insights VMが示されている必要があります。レ ガシーノード チェックボックスを選択して、既存のログコレクターデータを表示します。レガシーノードチェックボックスをオフにすると、Security Director Insightsのログコレクターデータが表示されます。
このビューの列の説明については、 表2 を参照してください。
カラム |
説明 |
|---|---|
ログ生成時刻 |
ログを受信した時刻 |
イベント名 |
ログのイベント名 |
送信元国 |
イベントが発生した送信元国名 |
送信元IP |
イベントが発生した場所の送信元IPアドレス。 |
目的地国 |
イベントが発生した宛先国名 |
クライアントホスト名 |
DHCPサーバーを要求するクライアントのホスト名。 |
マルウェア情報 |
マルウェアに関する情報。 |
宛先IP |
イベントの宛先IPアドレス |
送信元ポート |
イベントの送信元ポート。 |
宛先ポート |
イベントの宛先ポート |
説明 |
ログの説明。 |
攻撃名 |
ログの攻撃名 |
脅威の重大度 |
イベントの脅威の重大度 |
ポリシー名 |
ログ内のポリシー名 |
アクション |
イベントに対して実行されたアクション:警告、許可、ブロック。 |
ログソース |
ログソースのIPアドレス。 |
アプリケーション |
イベントまたはログが生成されるアプリケーション |
ホスト名 |
ログ内のホスト名 |
サービス名 |
アプリケーションサービスの名前。たとえば、FTP、HTTP、SSHなどです。 |
ネストされたアプリケーション |
ログ内のネストされたアプリケーション |
送信元ゾーン |
ログのソースゾーン。 |
宛先ゾーン |
ログの宛先ゾーン。 |
プロトコルID |
ログ内のプロトコルID |