検知の表示

Kaspersky CyberTrace Web の［Detections］ページには、ソースイベントおよび検知アラートを含む、Kaspersky CyberTrace で検知を生成した受信イベントに関する情報が表示されます。このページを使用してイベントを検索し、基準でフィルタリングできます。このページにアクセスするには、Data management モードに切り替える必要があります。

［Detections］ページには次の要素が含まれています：

• 検索バー
• 検知に関する情報を含む表
• テーブルの設定に切り替えるボタン：
  • ［Search also in detection alerts］スイッチ
  • ［Auto-update table］スイッチ

検知での検索

検索バーを使用して、検知での全文検索を実行できます。検索クエリのテキスト文字列をトークン化することにより、検索結果に完全一致とあいまい一致の両方が含まれます。ワイルドカードには対応していません。

検索結果は、下のテーブルに表示されます。

［Search also in detection alerts］スイッチが有効になっている場合、Kaspersky CyberTrace は、受信イベントと検知アラートでテキスト文字列を検索します。無効の場合、受信イベントでのみ検索します。既定では、［Search also in detection alerts］スイッチは有効になっています。

検知に関する情報を含むテーブルには、次の列が含まれています：

• Detection date

  検知したシステム日時。

• Source

  イベントソースの名前。

  この列には、Kaspersky CyberTrace にもう存在しないソース名が含まれている場合があります。これは、受信イベントの保存後にソースが削除または名前変更された場合に、レトロスキャン検知で発生する可能性があります。

• Category

  検知されたオブジェクトのカテゴリ。

  記録されると、脅威インジケーター名が変更された場合でも、カテゴリ名は変更されません。

• Type

  検知をトリガーしたインジケーターのタイプ。

• Value

  検知をトリガーしたインジケーターの値。

• Tags

  検知のトリガーとなったインジケーターに割り当てられたタグのリスト。

• Total tag weight

  ［Tags］列に表示されているタグの重みの合計。

• Supplier confidence

  フィードまたは脅威インジケーターの信頼性のレベル。

• Retroscan

  レトロスキャンによる検知の有無をチェックマークまたはダッシュで表示。

• FP

  検知と関連するインジケーターが誤検知としてマークされたことを示す（灰色のフラグ）アイコン。

テーブルの各行には、1 つの検知に関する情報が含まれています。

テーブル内の検知は、日時の降順で並べかえられます。

［Auto-update table］スイッチが有効になっている場合、Kaspersky CyberTrace は、検知に関する情報でテーブルを 10 秒ごとに更新します。

検知の詳細の表示

検知をクリックして、次の詳細情報を表示できます：

• Source event

  このセクションには、正規表現により受信イベントから抽出した部分文字列、および全ソースイベントが含まれています。

• Detection alert

  このセクションには、%FieldName%=%Value% 形式の一致したインジケーターの背景情報フィールドと、検知アラート全体が含まれます。

  意味は次の通りです：

  • %FieldName% は、受信イベントを解析するのに使用された正規表現の名前、または検知されたインジケーターに一致しているフィードレコードのフィールド名です。
  • %Value% は、受信イベントを解析するのに使用された正規表現の値、または検知されたインジケーターに一致しているフィードレコードの値です。

検知のフィルタリング

次の基準により、表内の検知をフィルタリングできます：

• Detection date

  特定の期間または特定の日付を指定します。

• Category

  検知されたオブジェクトの 1 つ以上のカテゴリを指定します。

• Supplier confidence

  フィードまたは脅威インジケーターの信頼レベルの間隔を指定します。

• Retroscan

  すべての検知、レトロスキャン検知、非レトロスキャン検知のいずれかを選択して、テーブルに表示します。フィルターが適用されていない場合は、すべての検知が表示されます。

• FP

  テーブルに表示する、誤検知としてマークされている検知とマークされていない検知を選択します。フィルターが適用されていない場合は、すべての検知が表示されます。

テーブルを基準によりフィルタリングするには：

1. フィルター基準として使用する列の （漏斗）アイコンをクリックします。
2. フィルタリング条件を指定します。
3. フィルタリング条件を指定するためのウィンドウが表示された場合は、［Apply］をクリックします。

テーブルの内容を更新することにより、指定した条件を満たす検知のみを含めます。

複数のフィルタリング基準を指定できます。

既定では、フィルタリング条件は適用されていません。

フィルターを削除するには：

1. フィルタリング基準としての使用を停止する列の （漏斗）アイコンをクリックします。
2. ［Reset］をクリックします。

テーブルの内容は、削除されたフィルタリング基準によってフィルタリングされないように更新されます。

このセクションの内容 検知カテゴリについて レトロスキャン検知について

ページのトップに戻る