アクティビティエクスプローラ

アクティビティエクスプローラは、環境のネットワークトラフィックまたはイベントアクティビティで関心のあるイベントを検索および可視化するためのツールです。Threat Intelligence フィード、IP レピュテーションデータベース、地理位置情報データベースなどの追加ソースからの情報が充実された環境のログから情報を収集し、表示します。

利点

  • 不明または不審な送信元からの不要なネットワークトラフィックの迅速な識別

  • クラウドセキュリティ設定のギャップや設定ミスを識別する

  • クラウド環境でのユーザアクティビティの異常な動作の監視と分析

アクティビティエクスプローラビュー

Intelligence は、クラウドアセットと設定情報を、さまざまなクラウドプラットフォームソースからのリアルタイムモニタリングデータ、および現在の脅威インテリジェンスフィード、IP レピュテーション、地理位置情報データベースと組み合わせます。これにより、正当なトラフィックからの疑わしいトラフィックを強調する視覚化が強化されます。たとえば、他のクラウド要素からのネットワークトラフィックの送信元はタイプ別に表示され、悪意のある外部ソースはそのようにマークされます。

アクティビティエクスプローラは、環境内のイベントアクティビティを視覚化します。すべてのアセットのアクティビティを表示したり、特定のアセットまたはアクティビティのビューをフィルタリングしたりできます。これを使用して、不要な、および潜在的に悪意のあるソースからの異常なアクティビティ、または信頼されたソースからの予期しないアクティビティを識別できます。

アクション

このビューには、CloudTrail for AWS や Log Search for Azure などのログに基づいて、環境内のイベントが表示されます。

  1. Intelligence メニューのActivity Explorer ページに移動します。

  2. Activity Explorer ページが開き、最初は選択したアカウントのすべてのアセットのすべてのイベント(前の1 時間) が表示されます。

  3. クリック 左上のクエリメニューを開きます。

  4. クエリのリストからクエリを選択します。

  5. Select this queryをクリックします。

    ページが更新され、選択したクエリがアカウントのログデータに適用されます。

    このビューには以下の要素があります。

    • GSL クエリー(2) を使用すると、ネットワークリソースまたはネットワークフローを検索できます。クエリで、特定のパケット、バイト、送信元、または宛先の詳細を指定して、環境またはクラスタに属するリソースのトラフィックと相互接続を監視できます。ボックスでクエリーテキストを直接編集するか、グラフィッククエリーエディターを開きます。

    • 時間枠(3) は、現在の時間(15 分、1 時間、24 時間、7 日) またはカスタム時間範囲の開始日と終了日から戻る時間です。ビューの時間枠を変更するには、新しい値を選択し、Run (4) をクリックして新しいクエリを実行します。

      - グラフには、エンティティ間の実際のトラフィックのみが表示されます。選択した時間枠内にネットワークアクティビティがないエンティティは表示されません。

    • Queries アイコン (5) 適切なカテゴリからクエリを選択できます。

    ビューの中央部分には、選択したクエリと時間枠に従って、環境内のエンティティとアカウントアクティビティのグラフが表示されます。エンティティは、アクティビティ、アイデンティティ、発行者、およびターゲットアセットの方向を示すゾーンにグループ化されます。アイデンティティゾーンにはアクティビティを実行または開始したエンティティが表示され、ターゲットアセットゾーンにはアクティビティが実行されたアセットが表示されます。発行者ゾーンには、ロール、トークンなど、ターゲットへのアクセスに使用されたアセットが表示されます。

    下のグラフは、過去1 時間のすべてのアセットのすべてのアクティビティを示すデフォルトのグラフを示しています。

    右側のペインには、グラフに表示されるアイデンティティ、発行者、およびターゲットアセットが表示されます。

    デフォルトのビューでは、アセットがタイプ別にグループ化されます(これらは大きな円で、アセットの数は数字で示されます)。次をクリックします。 アセットのグループ解除

    グラフ内のノードをクリックすると、それに関連するイベントが強調表示されます。

    右側のペインには、INFO タブにノードの詳細が表示されます。

    アイデンティティをクリックしてクエリに追加します(たとえば、現在のクエリにAND 句として追加するか、AND NOT 句として追加して除外することによってのみ、クエリをこのアセットに絞り込むことができます)。

    ターゲットアセットリストは、Top およびLeast タイプリストに編成されます。リストでアセットタイプのいずれかを選択し、クエリに追加します(上記のとおり)。

次のコントロールを使用してビューを制御できます。

  • zoom:ビューの中央セクションでポイントを選択し、マウスのスクロールホイールを使用してディスプレイを拡大または縮小するか、ビューの上部にあるズームコントロールを使用します。)

  • ビューでエンティティを選択し、右側のペインにdetails を表示します。

    詳細は3 つのタブがあります。INFO にはターゲットアセットのリストが表示され、それぞれの詳細が表示されます。STATISTICS では、エンティティがアイデンティティとターゲットアセットにグループ化されます。TIMELINE には、選択したアセットのアクティビティのリストがタイムラインとして整理されて表示されます(これは、特定のアセットが選択されている場合にのみ表示され、アセットのグループではありません)。

    ビューの中央部分をクリックすると(エンティティではなく)、すべてのエンティティの前のビューに戻ります。

  • Group ビューの上部にあるGroup by セレクタを使用して、エンティティタイプに従ってエンティティをクラスタ化します。次に、ビューのグループの次の展開/折りたたみシンボルを使用してグループを展開するか折りたたむかを選択します。) .


特定のイベントのアクティビティエクスプローラログを表示できます。

アクティビティエクスプローラグラフでイベントを選択し、右側の詳細ペインでOPEN LOGS をクリックします。

選択したエンティティのログが新しいタブに表示されます。

ログ内のレコードをクリックすると、特定のアクティビティとして、関連する発行者、アイデンティティ、およびターゲットアセットの詳細など、詳細が表示されます。

詳細ペインでエンティティをクリックして、クエリを追加の句としてクエリに追加し、対象の特定の項目に絞り込むことができます。

フィルタビュー

アクティビティエクスプローラビューをフィルタリングして、対象のイベントに焦点を当てることができます。

Activity Explorer filters

以下からフィルタオプションを選択します。

  • Status - イベントステータス(成功または失敗)

  • Interactive - クラウドプラットフォームコンソールでのユーザインタラクションに関連するイベント

  • Assets -特定のアセットタイプを選択

これらのフィルタに変更を加えた後、をクリックします。 クエリーを再実行し、グラフを更新します。

Statistics filters

トラフィックアクティビティビューでは、統計ペイン(右側)の結果に基づいて、クエリに用語を追加できます。

  1. 統計ペインで詳細をクリックします。

  2. これをクエリに追加するロジックを選択します(AND、OR、NOT)。選択したプロパティがクエリ文字列に追加されます。

アクティビティエクスプローラビューでは、詳細ペイン(右側)から詳細を選択することもできます。

  1. 詳細ペインでエンティティをクリックします。

  2. これをクエリに追加するロジックを選択します(AND、OR、NOT)。選択したプロパティがクエリ文字列に追加されます。