レトロスキャンの結果の表示
2024年2月27日
ID 199890
Kaspersky CyberTrace Web ユーザーインターフェイスで、[Retroscan]タブを選択できます。レトロスキャンを使用する前に、「レトロスキャンの設定」セクションでレトロスキャンを構成できます。
レトロスキャンを使用すると、悪意があると判断されなかったオブジェクト(IP アドレス、ドメイン、URL、またはハッシュ)が含まれる受信イベントを再スキャンできます。このように結果を確認する理由としては、このようなオブジェクトの受信時には、関連する脅威に関する情報が Kaspersky CyberTrace に含まれていなかったことなどがあります。ただし、脅威データフィードは定期的に更新されるため、検知されたインジケーターが含まれないイベントを保存してから、更新されたインジケーターリストに従って、これらのイベントを手動で、またはスケジュールに従って再スキャンすると役に立つ場合があります。
レトロスキャンの進行中、正規表現を適用してイベントから取得されたすべてのインジケーター(タイプが CONTEXT 以外)が、Kaspersky CyberTrace で使用されるフィードのインジケーターと照合されます。
インジケーターは、[Fields saved for retroscan]タブのレトロスキャン設定で有効になっている正規表現に従って照合されます。
[Settings]タブを選択してから[Matching]タブを選択すると、正規表現を編集または新しい正規表現を追加できます。保存すると、その正規表現は[Fields saved for retroscan]タブのレトロスキャン設定のセクションで使用できるようになります。
レトロスキャンの結果は、検知のあるページには表示されません。
検知された場合、フィードにインジケーターを追加した後で CyberTrace に表示されたイベントは、[Detections]セクションに表示され、レトロスキャンの対象にはなりません。
たとえば、レトロスキャンで使用される正規表現によって IP/ハッシュ/URL が取得された後でフィードにインジケーターが追加され、このインジケーターに関連する検知がなかった場合、次回のレトロスキャン実行時には[Detected indicators]セクションにこのインジケーターに関する情報が表示され、[Date and time]にはレトロスキャンによるインジケーターの検知日時が表示されます。
このインジケーターに関連する各イベントは、レトロスキャンのレポートに独自のレコードがあります。
[Retroscan]タブを使用すると、レトロスキャンを手動で起動し、スキャンプロセスが終了した後に受信した結果を表示できます。
このタブでは、次の操作を実行できます:
- レトロスキャンを手動で起動する
- スキャン結果の表示を構成する
- 検知されたインジケーターが含まれる単一のレトロスキャン結果に関する詳細情報を表示する
また、このタブには次の情報も表示されます:
- 次のレトロスキャンタスクの日時
- レトロスキャン用として保存されるイベントの数
- レトロスキャン用として保存されるイベントのサイズ
イベントのサイズは、最大 1 時間の遅延で表示されます。保存されたイベントの実際の現在のサイズは、表示値を超える場合があります。
- 指定した期間のレトロスキャン結果が含まれるテーブル
このテーブルには、次の列のデータが含まれます:
- レトロスキャンタスクのステータス:
- Detected
結果には検知されたインジケーターが含まれます。
- Not detected
結果には検知されたインジケーターが含まれません。
- Canceled
レトロスキャンプロセスはキャンセルされました。
- Detected
- 各レトロスキャンタスクが終了した日時
- スキャンされたインジケーターの数
- 検知されたインジケーターの数
必要に応じて、検知されたインジケーターが含まれる結果のみが表示されるよう構成できます。
Retroscan results
- レトロスキャンタスクのステータス:
レトロスキャンの起動
レトロスキャンを起動するには:
[Start retroscan]をクリックします。
必要に応じて、スキャンプロセスをキャンセルできます。
レトロスキャンの起動は、複数の理由のために不可能である場合があります:
- Kaspersky CyberTrace が、現時点で別のレトロスキャンを実行している。
- レトロスキャンが無効である。
- Kaspersky CyberTrace に、レトロスキャン用として保存された 1 MB 未満のイベントが含まれる。
検知イベントが含まれるレトロスキャン結果の表示の構成
検知イベントが含まれる結果のみを表示するには:
[Retroscan results]テーブルの上にある[Show only retroscan results with detection]を選択します。
結果期間の指定
[Retroscan results]テーブルの上にある[Retroscan results period]の 1 つを選択することで、結果を表示する期間を指定できます。次のいずれかの期間を選択できます:
- Day
- Week
- Month
- 3 months
- All time
- Custom range
レトロスキャン結果の表示期間の指定
単一のレトロスキャン結果の表示
単一のレトロスキャンタスクに関する詳細情報を表示するには:
- [Retroscan results]テーブルで、詳細を表示する結果(検知されたインジケーターを含む)を見つけます。
- [Detected indicators]列内のリンクをクリックします。
表示されたページで、最初の 50 の検知イベントに関する詳細情報を確認できます。全てのイベントを表示するには、CSV 形式の完全なレポートをダウンロードします (下記参照)。
このページに、次の情報が表示されます:
- レトロスキャンの日時
スキャン結果ページに表示される日時は、CSV 形式のレポートに表示される日時とは異なる場合があります。このことは、UTC の設定が原因で発生します。CSV 形式のレポートでは常に UTC+0 が使用されますが、スキャン結果ページの時刻はカスタム設定に応じて異なります。
- 処理されたイベントの数
- 検知されたインジケーターの数
- 処理されたインジケーターの数
- 検知イベントのカテゴリ別の数
- [Detected indicators]セクションの各検知イベントに関する情報
目的のインジケーターをクリックすることで、各インジケーターに関する詳細情報を表示できます。この情報は以下のフィールドに含まれています:
- Category—検知されたオブジェクトのカテゴリ。
- Timestamp—インジケーターの検知日時。
- tenant—元のイベントに関連付けられたテナント名。
- source—元のイベントを送信するイベントソース。
- ioc—インジケーターが検知されるフィールド。
- IP—正規表現によって取得されるフィールド。
レトロスキャンの結果が含まれるレポートのダウンロード
レポートをダウンロードするには:
[Detected indicators]セクションの近くにある[Download report]をクリックします。
生成される CSV ファイルには、次のデータが含まれます:
- 検知イベントを受信した日時
スキャン結果ページに表示される日時は、CSV 形式のレポートに表示される日時とは異なる場合があります。このことは、UTC の設定が原因で発生します。CSV 形式のレポートでは常に UTC+0 が使用されますが、スキャン結果ページの時刻はカスタム設定に応じて異なります。
- 元のイベントに関連付けられたテナント名
- イベントソースの名前
- 検知されたオブジェクトのカテゴリ
- イベントの原因となった検知されたインジケーター
- 検知イベントに関する背景情報
- 検知イベント