レトロスキャンの結果の表示

Kaspersky CyberTrace Web ユーザーインターフェイスで、［Retroscan］ページを選択できます。このページにアクセスするには、System management モードに切り替える必要があります。このモードにアクセスできるのは、管理者ロールを持つユーザーのみです。

レトロスキャンを使用する前に、有効にして設定する必要があります。後で、レトロスキャン設定を変更することもできます。

レトロスキャンを使用すると、悪意があると判断されなかったオブジェクト（IP アドレス、ドメイン、URL、またはハッシュ）が含まれる受信イベントを再スキャンできます。これらの結果を確認する理由としては、このようなオブジェクトの受信時には、関連する脅威に関する情報が Kaspersky CyberTrace に含まれていなかったことなどがあります。ただし、脅威データフィードは定期的に更新されるため、検知されたインジケーターが含まれないイベントを保存してから、更新されたインジケーターリストを使用して、これらのイベントを手動で、またはスケジュールに従って再スキャンすると役に立つ場合があります。

レトロスキャン検知は統計情報に含まれており、すべての一般的な検知と同様に、［Detections］ページおよび図表に表示されます。レトロスキャンの結果は SIEM システムに送信されます。通常の検知と同様に、レトロスキャン検知を SIEM に送信するためのフィルターも適用されます。

レトロスキャンの進行中に、［Regular expressions］タブのレトロスキャン設定で指定された正規表現を適用することによってイベントから取得されたすべての非コンテキスト値が、［Feeds］タブで有効になっているフィードの新しいインジケーターと照合されます。

［Settings］→［Event sources］ページの順に選択すると、正規表現を編集したり、新しい正規表現を追加したりできます。保存すると、その正規表現は［Regular expressions］タブのレトロスキャン設定のセクションで使用できるようになります。

検知された場合、フィードにインジケーターを追加した後で Kaspersky CyberTrace に表示されたイベントは、［Detections］ページに表示され、レトロスキャンの対象にはなりません。

レトロスキャンで使用される正規表現によって IP / ハッシュ / URL が取得された後でフィードにインジケーターが追加され、このインジケーターに関連する検知がなかった場合、次回のレトロスキャン実行時には［Detected indicators］列にこのインジケーターに関する情報が表示され、［Date and time］列にはレトロスキャンによるインジケーターの検知日時が表示されます。

このインジケーターに関連する各イベントは、レトロスキャンのレポートに独自のレコードがあります。

［Retroscan］ページを使用すると、レトロスキャンを手動で起動し、スキャンプロセスが終了した時の結果を表示できます。

このページでは、次の操作を実行できます：

• レトロスキャンを手動で起動する
• スキャン結果の表示を設定する
• 検知されたインジケーターが含まれる単一のレトロスキャン結果に関する詳細情報を表示する

このページには次の内容も表示されます：

• 次のレトロスキャンタスクの日時
• レトロスキャン用として保存されるイベントの数
• レトロスキャン用として保存されるイベントのサイズ

  イベントのサイズは、最大 1 時間の遅延で表示されます。保存されたイベントの実際の現在のサイズは、表示値を超える場合があります。

• 指定した期間のレトロスキャン結果が含まれるテーブル

  このテーブルには、次の列が含まれます：

  • レトロスキャンタスクのステータス：
    • Detected

      結果には検知されたインジケーターが含まれます。

    • Not detected

      結果には検知されたインジケーターが含まれません。

    • Canceled

      レトロスキャンプロセスはキャンセルされました。

    • Failed

      レトロスキャンプロセスは失敗しました。

  • 各レトロスキャンタスクが終了した日時
  • スキャンされたインジケーターの数
  • 検知されたインジケーターの数

  

  Retroscan results

レトロスキャンの起動

レトロスキャンを起動するには：

［Start now］をクリックします。

必要に応じて、スキャンプロセスをキャンセルできます。

レトロスキャンの起動は、複数の理由のために不可能である場合があります：

• Kaspersky CyberTrace が、現時点で別のレトロスキャンを実行している。
• レトロスキャンが無効である。

検知アラートが含まれるレトロスキャン結果の表示の設定

検知アラートが含まれる結果のみを表示するには、

［Results］テーブルの上にある［Show only retroscan results with detection］を選択します。

結果期間の指定

［Results］テーブルの上にあるオプションの 1 つを選択することで、結果を表示する期間を指定できます。次のいずれかの期間を選択できます：

• All time
• Day
• Week
• Month
• 3 months
• Custom range

  

  レトロスキャン結果の表示期間の指定

単一のレトロスキャン結果の表示

単一のレトロスキャンタスクに関する詳細情報を表示するには：

1. ［Results］テーブルで、詳細を表示する結果（検知されたインジケーターを含む）を見つけます。
2. ［View details］をクリックします。

表示されたページで、最初の 50 の検知イベントに関する詳細情報を確認できます。すべてのイベントを表示するには、CSV 形式の完全なレポートをダウンロードします （下記参照）。

このページに、次の情報が表示されます：

• レトロスキャンの日時

  スキャン結果ページに表示される日時は、CSV 形式のレポートに表示される日時とは異なる場合があります。このことは、UTC の設定が原因で発生します。CSV 形式のレポートでは常に UTC+0 が使用されますが、スキャン結果ページの時刻はカスタム設定に応じて異なります。

• 処理されたイベントの数
• 検知されたインジケーターの数
• 処理されたインジケーターの数
• 検知アラートのカテゴリ別の数
• ［Detected indicators］セクションの各検知イベントに関する情報

  目的のインジケーターのバーを展開することで、各インジケーターに関する詳細情報を表示できます。この情報は以下のフィールドに含まれています：

  • 検知されたオブジェクトのカテゴリ
  • Timestamp—インジケーターの検知日時
  • Domain—元のイベントに関連付けられたテナント名
  • Source—元のイベントを送信するイベントソース
  • ioc—インジケーターが検知されるフィールド
  • IP—正規表現によって取得されるフィールド

レトロスキャンの結果が含まれるレポートのダウンロード

レポートをダウンロードするには、

［Download full report］をクリックします。

生成される CSV ファイルには、次のデータが含まれます：

• 検知アラートを受信した日時

  スキャン結果ページに表示される日時は、CSV 形式のレポートに表示される日時とは異なる場合があります。このことは、UTC の設定が原因で発生します。CSV 形式のレポートでは常に UTC+0 が使用されますが、スキャン結果ページの時刻はカスタム設定に応じて異なります。

• 元のイベントに関連付けられたテナント名
• イベントソースの名前
• 検知されたオブジェクトのカテゴリ
• イベントの原因となった検知されたインジケーター
• 検知アラートに関する背景情報
• Detection alert

ページのトップに戻る