Kaspersky CyberTrace Web の[Detections]タブには、ソースイベントおよび検知イベントを含む、Kaspersky CyberTrace で検知を生成した受信イベントに関する情報が表示されます。このタブを使用してイベントを検索し、基準でフィルタリングできます。[Detections]タブには次の要素が含まれています:
検知での検索
検索バーを使用して、検知での全文検索を実行できます。検索クエリのテキスト文字列をトークン化することにより、検索結果に完全一致とあいまい一致の両方が含まれます。ワイルドカードには対応していません。
検索結果は、下の表に表示されます。
[Search also in detection events]スイッチがオンの場合、Kaspersky CyberTrace は、受信イベントと検知イベントでテキスト文字列を検索します。オフの場合、受信イベントでのみ検索します。既定では、[Search also in detection events]スイッチはオンです。
検知に関する情報を含む表には、次の列が含まれています:
この列には、検知のシステム日時が含まれています(yyyy-mm-dd HH:MM:SS 形式)。
この列には、テナントの名前が含まれています。複数のテナントが存在する時に、マルチテナントモードでのみ表示されます。
この列には、イベントソースの名前が含まれています。
この列には、CyberTrace にもう存在しないソース名が含まれている場合があります。これは、受信イベントの保存後にソースが削除または名前変更された場合に、レトロスキャン検知で発生する可能性があります。
この列には、検知されたオブジェクトのカテゴリが含まれています。
記録されると、脅威インジケーター名が変更された場合でも、カテゴリ名は変更されません。
この列には、検知をトリガーしたインジケーターに割り当てられているタグのリストが含まれています。
この列には、[Tags]列にリストされているタグの重みの合計が含まれています。
この列には、レトロスキャンによる検知の有無を示すチェックマークまたはダッシュが表示されます。
この列には、受信イベントに一致していたデータベースからのインジケーターが含まれています。
表の各行には、1 つの検知に関する情報が含まれています。検知をクリックして、次の詳細情報を表示できます:
このセクションには、正規表現により受信イベントから抽出した部分文字列、および全ソースイベントが含まれています。
このセクションには、%FieldName%=%Value% 形式の一致したインジケーターのコンテキストフィールドおよび全検知イベントが含まれています。
意味は次の通りです:
%FieldName% は、受信イベントを解析するのに使用された正規表現の名前、または検出されたインジケーターに一致しているフィードレコードのフィールド名です。%Value% は、受信イベントを解析するのに使用された正規表現の値、または検出されたインジケーターに一致しているフィードレコードの値です。表内の検知は、日時の降順でソートされます。
[Auto-update table]スイッチがオンの場合、Kaspersky CyberTrace は、検知に関する情報で表を 10 秒ごとに更新します。
検知のフィルタリング
次の基準により、表内の検知をフィルタリングできます:
特定の期間または特定の日付を指定できます。
複数のテナントがある場合は、1 つまたは複数のテナント名を指定できます。
複数のイベントソースがある場合は、1 つまたは複数のイベントソースを指定できます。
複数のカテゴリがある場合は、検知されたオブジェクトの 1 つまたは複数のカテゴリを指定できます。
すべての検知、レトロスキャン検知、非レトロスキャン検知のいずれかを選択して、テーブルに表示できます。
表内の検知を基準によりフィルタリングするには:
表の内容を更新することにより、指定した条件を満たす検知のみを含めます。
複数のフィルタリング基準を指定できます。
既定では、フィルタリング条件は適用されていません。
以下は、利用可能な検知カテゴリのリストです。これらのカテゴリは、Kaspersky CyberTrace でサポートされる Kaspersky feed および OSINT feed に適用されます。
検知カテゴリ |
説明 |
KL_APT_Hash_MD5 |
APT キャンペーンで使用されている悪意のあるファイルのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_APT_Hash_SHA1 |
APT キャンペーンで使用されている悪意のあるファイルのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_APT_Hash_SHA256 |
APT キャンペーンで使用されている悪意のあるファイルのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_APT_IP |
APT キャンペーンで使用されている IP アドレスは、Kaspersky CyberTrace で検知されます。 |
KL_APT_URL |
APT キャンペーンで使用されている URL は、Kaspersky CyberTrace で検知されます。 |
KL_BotnetCnC_Hash_MD5 |
ボットネットハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_BotnetCnC_Hash_SHA1 |
ボットネットハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_BotnetCnC_Hash_SHA256 |
ボットネットハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_BotnetCnC_URL |
ボットネット C&C URL は、Kaspersky CyberTrace で検知されます。 |
KL_ICS_Hash_MD5 |
ICS ハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_ICS_Hash_SHA1 |
ICS ハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_ICS_Hash_SHA256 |
ICS ハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_InternalTI_URL |
Kaspersky CyberTrace の InternalTI リストの URL。 |
KL_InternalTI_IP |
Kaspersky CyberTrace の InternalTI リストの IP。 |
KL_InternalTI_Hash_MD5 |
Kaspersky CyberTrace の InternalTI リストのハッシュ。 |
KL_InternalTI_Hash_SHA1 |
Kaspersky CyberTrace の InternalTI リストのハッシュ。 |
KL_InternalTI_Hash_SHA256 |
Kaspersky CyberTrace の InternalTI リストのハッシュ。 |
KL_IoT_Hash_MD5 |
IoT のハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_IoT_Hash_SHA1 |
IoT のハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_IoT_Hash_SHA256 |
IoT のハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_IoT_URL |
Internet of Things (IoT)対応デバイスに感染する URL は、Kaspersky CyberTrace で検知されます。 |
KL_IP_Reputation |
悪意のある IP アドレスは、Kaspersky CyberTrace で検知されます。 |
KL_IP_Reputation_Hash_MD5 |
悪意のある IP アドレスでホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_IP_Reputation_Hash_SHA1 |
悪意のある IP アドレスでホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_IP_Reputation_Hash_SHA256 |
悪意のある IP アドレスでホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Malicious_URL |
悪意のある URL は、Kaspersky CyberTrace で検知されます。 |
KL_Malicious_URL_Hash_MD5 |
悪意のある URL でホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Malicious_URL_Hash_SHA1 |
悪意のある URL でホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Malicious_URL_Hash_SHA256 |
悪意のある URL でホストされているファイルのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Malicious_Hash_MD5 |
悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Malicious_Hash_SHA1 |
悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Malicious_Hash_SHA256 |
悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Mobile_Malicious_Hash_MD5 |
モバイルの悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Mobile_Malicious_Hash_SHA1 |
モバイルの悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Mobile_Malicious_Hash_SHA256 |
モバイルの悪意のあるハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Mobile_BotnetCnC_Hash_MD5 |
モバイルのボットネット C&C ハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Mobile_BotnetCnC_Hash_SHA1 |
モバイルのボットネット C&C ハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Mobile_BotnetCnC_Hash_SHA256 |
モバイルのボットネット C&C ハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Mobile_BotnetCnC_URL |
モバイルのボットネット C&C URL は、Kaspersky CyberTrace で検知されます。 |
KL_Phishing_URL |
フィッシング URL は、Kaspersky CyberTrace で検知されます。 |
KL_Ransomware_URL |
ランサムウェアをホストする URL は、Kaspersky CyberTrace で検知されます。 |
KL_Ransomware_URL_Hash_MD5 |
ランサムウェアのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Ransomware_URL_Hash_SHA1 |
ランサムウェアのハッシュは、Kaspersky CyberTrace で検知されます。 |
KL_Ransomware_URL_Hash_SHA256 |
ランサムウェアのハッシュは、Kaspersky CyberTrace で検知されます。 |
AbuseCh_Feodo_Block_IP |
Abuse.Ch_Feodo_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。 |
AbuseCh_Ransomware_Block_URL |
Abuse.Ch_Ransomware_Block_URL フィードからの URL は、Kaspersky CyberTrace で検知されます。 |
AbuseCh_Ransomware_Block_Domain |
Abuse.Ch_Ransomware_Block_Domain フィードからのドメインは、Kaspersky CyberTrace で検知されます。 |
AbuseCh_Ransomware_Block_IP |
Abuse.Ch_Ransomware_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。 |
AbuseCh_Ransomware_Common_URL |
Abuse.Ch_Ransomware_Common_URL フィードからの URL は、Kaspersky CyberTrace で検知されます。 |
AbuseCh_SSL_Certificate_Block_IP |
AbuseCh_SSL_Certificate_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。 |
AbuseCh_SSL_Certificate_Hash_SHA1 |
AbuseCh_SSL_Certificate_Hash_SHA1 フィードからのハッシュは、Kaspersky CyberTrace で検知されます。 |
BlocklistDe_Block_IP |
BlocklistDe_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。 |
CyberCrime_Tracker_Block_Url |
CyberCrime_Tracker_Block_Url フィードからの URL は、Kaspersky CyberTrace で検知されます。 |
EmergingThreats_Block_IP |
EmergingThreats_Block_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。 |
EmergingThreats_Compromised_IP |
EmergingThreats_Compromised_IP フィードからの IP アドレスは、Kaspersky CyberTrace で検知されます。 |