エンティティ プロファイルの調査

  • [アーティクル]

適用対象: Advanced Threat Analytics Version 1.9

エンティティ プロファイルは、アクセスするユーザー、コンピューター、デバイス、リソースおよび履歴の詳しく調査できるように設計されたダッシュボードを提供します。 プロファイル ページには、新しい ATA logical activity translator が採用されています。この機能では、ユーザーの実際のアクティビティが理解しやすくなるように、発生したアクティビティの集まり (最大 1 分間まで集約) が 1 つの論理アクティビティとしてグループ化されます。

エンティティ プロファイル ページにアクセスするには、不審なアクティビティのタイムラインでユーザー名などのエンティティの名前を選択します。

左側のメニューには、エンティティで使用できるすべての Active Directory 情報 (メール アドレス、ドメイン、最初に検出された日付) が表示されます。 エンティティが機密性の高い場合は、その理由がわかります。 たとえば、ユーザーに機密性の高いタグが付いているか、または機密性の高いグループのメンバーとしてタグ付けされていますか。 機密性の高いユーザーの場合は、ユーザー名の下にアイコンが表示されます。

エンティティ アクティビティの表示

ユーザーによって実行されたすべてのアクティビティ、またはエンティティで実行されたすべてのアクティビティを表示するには、[アクティビティ] タブを選択します。

ユーザー プロファイル アクティビティ。

デフォルトでは、エンティティ プロファイルのメイン ペインには、最大 6 か月前までの履歴がついた、エンティティのアクティビティのタイムラインが表示されます。そこから、ユーザーがアクセスしたエンティティ、またはエンティティにアクセスしたユーザーの詳細を確認できます。

上部には、エンティティについてすぐに把握する必要があある概要が一目でわかる [サマリー] タイルが表示されます。 これらのタイルは、エンティティの種類に基づいて変化します。ユーザーの場合は、次のように表示されます。

  • ユーザーに対する未解決の不審なアクティビティの数

  • ユーザーがログオンしたコンピューターの数

  • ユーザーがアクセスしたリソースの数

  • ユーザーが VPN にログインした場所

    エンティティ メニュー。

コンピューターの場合は、次の情報が表示されます。

  • コンピューターに対する未解決の不審なアクティビティの数

  • コンピューターにログインしたユーザーの数

  • コンピューターがアクセスしたリソースの数

  • コンピューター上から VPN にアクセスされた場所の数

  • コンピューターが使用した IP アドレスの一覧

    エンティティ メニュー コンピューター。

アクティビティ タイムラインの上にある [フィルターで絞り込み] ボタンを使用すると、アクティビティの種類でアクティビティをフィルター処理できます。 特定 (多発) の種類のアクティビティを除外することもできます。 これは、エンティティがネットワークで何を行っているかの基本を理解したい場合の調査に非常に役立ちます。 また、特定の日付に移動し、フィルター処理されたアクティビティを Excel にエクスポートすることもできます。 エクスポートされたファイルには、ディレクトリ サービスの変更 (アカウントの Active Directory で変更された内容) のページと、アクティビティ用の別のページが提供されます。

ディレクトリ データの表示

[ ディレクトリ データ ] タブには、ユーザー アクセス制御のセキュリティ フラグなど、Active Directory から使用できる静的な情報が表示されます。 ATA では、ユーザーのグループ メンバーシップも表示されるため、ユーザーが直接メンバーシップまたは再帰メンバーシップを持っているかどうかを確認できます。 グループの場合、ATA ではグループのメンバーが最大 1000 人分、一覧表示されます。

ユーザー プロファイル ディレクトリ データ。

[ユーザー アクセス制御] セクションで、ATA は注意が必要になる場合があるセキュリティ設定を表示します。 ユーザーが Enter キーを押してパスワードをバイパスできる場合や、有効期限が切れないパスワードがある場合など、ユーザーに関する重要なフラグを表示できます。

横移動パスの表示

[横移動パス] タブを選択すると、全体的にダイナミックでクリック可能なマップを表示できます。このマップでは、ネットワークに侵入するために使用できる、このユーザー間の横移動パスを視覚的に表現できます。

このマップには、機密性の高いアカウントを侵害するために攻撃者がこのユーザー間で行う必要があるコンピューターまたはユーザー間のホップの数の一覧が表示されます。ユーザーが機密性の高いアカウントを持っている場合は、直接接続されているリソースとアカウントの数を確認できます。 詳細については、「横移動パス」を参照してください。

ユーザー プロファイルの横移動パス。

参照

ATA フォーラムをご覧ください。