高度な脅威分析(日本法人では未リリース)
高度な脅威分析(Advanced Threat Analytics)機能は、潜在的に悪意のある URL、ドメイン、およびIPアドレスごとのレピュテーションスコア(評判スコア)を使用して、脅威の重大度に関する貴重な洞察を提供します。高度な脅威分析を設定するには、オプションライセンス(日本法人では未リリース)を購入する必要があります。
概要
高度な脅威分析機能は、[設定]タブ → [管理者権限] → [脅威フィード] → [高度な脅威分析]タブから確認できます。
- EventLog Analyzerは、以下のベンダーからのデータをサポートしています。
- Log360 Cloud脅威アナリティクス
Log360 Cloudスイートとのデフォルトの統合です。オプションライセンスを購入するとアクセスできるようになります。 - VirusTotal
サードパーティーの脅威フィードとの統合です。Bring Your Own Key(BYOK)モデルに従います。VirusTotalのアクセスを別途購入している場合は、APIキーを使用してEventLog Analyzerで脅威分析情報を取得できます。 - アクセス
- 調査:脅威分析情報には、「外部からの脅威」レポートと調査用の「インシデントワークベンチ」を通じてアクセスできます。
- 検出:デフォルト脅威アラートは、外部の脅威ソースとの相互作用を検出します。高度な脅威分析オプションを購入している場合は、アラートが正確に微調整され、誤検知が削減されます。
外部からの脅威レポート
注記:[レポート]タブ → [脅威] → [脅威分析] → [外部からの脅威]
外部からの脅威レポートには、ソース、脅威の重大度、評判スコアなどの情報が含まれています。
- [上位の攻撃されたホスト]タブおよび[カテゴリごとの脅威]タブのレポートが表示されます。
- [脅威ソース]列のURLとIPをクリックし、[インシデントワークベンチに進む]を選択すると、統合された脅威フィードからコンテキストリスクデータを取得します。
アラート(デフォルト脅威)
[アラート]タブでは、アラートの[脅威分析]アイコンをクリックすることで、インシデントワークベンチを開いて分析を行えます。
