レトロスキャンの結果の表示
2024年4月11日
ID 199890
Kaspersky CyberTrace Web ユーザーインターフェイスで、[Retroscan]タブを選択できます。レトロスキャンを使用する前に、「レトロスキャンの設定」セクションでレトロスキャンを構成できます。
レトロスキャンを使用すると、悪意があると判断されなかったオブジェクト(IP アドレス、ドメイン、URL、またはハッシュ)が含まれる受信イベントを再スキャンできます。これらの結果を確認する理由としては、このようなオブジェクトの受信時には、関連する脅威に関する情報が Kaspersky CyberTrace に含まれていなかったことなどがあります。ただし、脅威データフィードは定期的に更新されるため、検知されたインジケーターが含まれないイベントを保存してから、更新されたインジケーターリストを使用して、これらのイベントを手動で、またはスケジュールに従って再スキャンすると役に立つ場合があります。
レトロスキャン検知は統計情報に含まれており、すべての一般的な検知と同様に、[Detections]タブおよび図表に表示されます。レトロスキャンの結果は SIEM ソリューションに送信されます。通常の検知と同様に、レトロスキャン検知を SIEM に送信するためのフィルターも適用されます。
レトロスキャンの進行中に、[Fields saved for retroscan]タブのレトロスキャン設定で指定された正規表現を適用することによってイベントから取得されたすべての非コンテキスト値が、[Feeds used in retroscan]タブで有効になっているフィードの新しいインジケーターと照合されます。
[Settings]→[Matching]タブの順に選択すると、正規表現を編集したり、新しい正規表現を追加したりできます。保存すると、その正規表現は[Fields saved for retroscan]タブのレトロスキャン設定のセクションで使用できるようになります。
検知された場合、フィードにインジケーターを追加した後で CyberTrace に表示されたイベントは、[Detections]セクションに表示され、レトロスキャンの対象にはなりません。
レトロスキャンで使用される正規表現によって IP / ハッシュ / URL が取得された後でフィードにインジケーターが追加され、このインジケーターに関連する検知がなかった場合、次回のレトロスキャン実行時には[Detected indicators]セクションにこのインジケーターに関する情報が表示され、[Date]にはレトロスキャンによるインジケーターの検知日時が表示されます。
このインジケーターに関連する各イベントは、レトロスキャンのレポートに独自のレコードがあります。
[Retroscan]タブを使用すると、レトロスキャンを手動で起動し、スキャンプロセスが終了した時の結果を表示できます。
このタブでは、次の操作を実行できます:
- レトロスキャンを手動で起動する
- スキャン結果の表示を構成する
- 検知されたインジケーターが含まれる単一のレトロスキャン結果に関する詳細情報を表示する
このタブには次の内容も表示されます:
- 次のレトロスキャンタスクの日時
- レトロスキャン用として保存されるイベントの数
- レトロスキャン用として保存されるイベントのサイズ
イベントのサイズは、最大 1 時間の遅延で表示されます。保存されたイベントの実際の現在のサイズは、表示値を超える場合があります。
- 指定した期間のレトロスキャン結果が含まれるテーブル
このテーブルには、次の列のデータが含まれます:
- レトロスキャンタスクのステータス:
- Detected
結果には検知されたインジケーターが含まれます。
- Not detected
結果には検知されたインジケーターが含まれません。
- Canceled
レトロスキャンプロセスはキャンセルされました。
- Failed
レトロスキャンプロセスは失敗しました。
- Detected
- 各レトロスキャンタスクが終了した日時
- スキャンされたインジケーターの数
- 検知されたインジケーターの数
Retroscan results
- レトロスキャンタスクのステータス:
レトロスキャンの起動
レトロスキャンを起動するには:
[Start retroscan]をクリックします。
必要に応じて、スキャンプロセスをキャンセルできます。
レトロスキャンの起動は、複数の理由のために不可能である場合があります:
- Kaspersky CyberTrace が、現時点で別のレトロスキャンを実行している。
- レトロスキャンが無効である。
検知イベントが含まれるレトロスキャン結果の表示の構成
検知イベントが含まれる結果のみを表示するには:
[Retroscan results]テーブルの上にある[Show only retroscan results with detection]を選択します。
結果期間の指定
[Retroscan results]テーブルの上にある[Retroscan results period]の 1 つを選択することで、結果を表示する期間を指定できます。次のいずれかの期間を選択できます:
- Day
- Week
- Month
- 3 months
- All time
- Custom range
レトロスキャン結果の表示期間の指定
単一のレトロスキャン結果の表示
単一のレトロスキャンタスクに関する詳細情報を表示するには:
- [Retroscan results]テーブルで、詳細を表示する結果(検知されたインジケーターを含む)を見つけます。
- [Detected indicators]列内のリンクをクリックします。
表示されたページで、最初の 50 の検知イベントに関する詳細情報を確認できます。全てのイベントを表示するには、CSV 形式の完全なレポートをダウンロードします (下記参照)。
このページに、次の情報が表示されます:
- レトロスキャンの日時
スキャン結果ページに表示される日時は、CSV 形式のレポートに表示される日時とは異なる場合があります。このことは、UTC の設定が原因で発生します。CSV 形式のレポートでは常に UTC+0 が使用されますが、スキャン結果ページの時刻はカスタム設定に応じて異なります。
- 処理されたイベントの数
- 検知されたインジケーターの数
- 処理されたインジケーターの数
- 検知イベントのカテゴリ別の数
- [Detected indicators]セクションの各検知イベントに関する情報
目的のインジケーターをクリックすることで、各インジケーターに関する詳細情報を表示できます。この情報は以下のフィールドに含まれています:
- Category—検知されたオブジェクトのカテゴリ。
- Timestamp—インジケーターの検知日時。
- tenant—元のイベントに関連付けられたテナント名。
- source—元のイベントを送信するイベントソース。
- ioc—インジケーターが検知されるフィールド。
- IP—正規表現によって取得されるフィールド。
レトロスキャンの結果が含まれるレポートのダウンロード
レポートをダウンロードするには:
[Detected indicators]セクションの近くにある[Download report]をクリックします。
生成される CSV ファイルには、次のデータが含まれます:
- 検知イベントを受信した日時
スキャン結果ページに表示される日時は、CSV 形式のレポートに表示される日時とは異なる場合があります。このことは、UTC の設定が原因で発生します。CSV 形式のレポートでは常に UTC+0 が使用されますが、スキャン結果ページの時刻はカスタム設定に応じて異なります。
- 元のイベントに関連付けられたテナント名
- イベントソースの名前
- 検知されたオブジェクトのカテゴリ
- イベントの原因となった検知されたインジケーター
- 検知イベントに関する背景情報
- 検知イベント