適用対象: Advanced Threat Analytics バージョン 1.9
エンティティ プロファイルには、ユーザー、コンピューター、デバイス、およびユーザーがアクセスできるリソースとその履歴の詳細な調査用に設計されたダッシュボードが用意されています。 プロファイル ページでは、発生しているアクティビティのグループ (最大 1 分まで集計) を調べ、それらを 1 つの論理アクティビティにグループ化して、ユーザーの実際のアクティビティをより深く理解できる、新しい ATA 論理アクティビティ トランスレーターを利用します。
エンティティ プロファイル ページにアクセスするには、疑わしいアクティビティタイムラインで、ユーザー名などのエンティティの名前を選択します。
左側のメニューには、エンティティで使用可能なすべてのActive Directory情報 (メール アドレス、ドメイン、最初に表示された日付) が表示されます。 エンティティが機密性の高い場合は、その理由がわかります。 たとえば、ユーザーに機密性の高いタグが付いているか、または機密性の高いグループのメンバーとしてタグ付けされていますか。 機密性の高いユーザーの場合は、ユーザー名の下にアイコンが表示されます。
エンティティ アクティビティの表示
ユーザーによって実行されたすべてのアクティビティ、またはエンティティで実行されたすべてのアクティビティを表示するには、[ アクティビティ ] タブを選択します。
既定では、エンティティ プロファイルのメイン ウィンドウには、最大 6 か月前の履歴を含むエンティティのアクティビティのタイムラインが表示されます。そこから、ユーザーがアクセスしたエンティティ、またはエンティティにアクセスしたユーザーをドリルダウンすることもできます。
上部には、概要タイルが表示され、エンティティについて理解する必要がある内容の概要をひとめで確認できます。 これらのタイルは、エンティティの種類に基づいて変化します。ユーザーの場合は、次のように表示されます。
現在ユーザーに対して開かれている疑わしい活動の数
ユーザーがログオンしたコンピューターの数
ユーザーがアクセスしたリソースの数
ユーザーが VPN にログインした場所
コンピューターの場合は、次の情報が表示されます。
マシンにおける未解決の疑わしい活動の数
コンピューターにログインしたユーザーの数
コンピューターがアクセスしたリソースの数
コンピューター上から VPN にアクセスされた場所の数
コンピューターが使用した IP アドレスの一覧
アクティビティ タイムラインの上にある [ フィルター] ボタンを使用すると、アクティビティの種類でアクティビティをフィルター処理できます。 特定の (ノイズの多い) 種類のアクティビティを除外することもできます。 これは、エンティティがネットワークで何を行っているかの基本を理解したい場合に、調査に役立ちます。 また、特定の日付に移動し、フィルター処理されたアクティビティをExcelにエクスポートすることもできます。 エクスポートされたファイルには、ディレクトリ サービスの変更用のページ (アカウントのActive Directoryで変更された内容) とアクティビティ用の別のページが用意されています。
ディレクトリ データを表示する
Directory data タブには、ユーザー アクセス制御のセキュリティ フラグなど、Active Directoryから使用できる静的な情報が表示されます。 ATA では、ユーザーのグループ メンバーシップも表示されるため、ユーザーが直接メンバーシップまたは再帰メンバーシップを持っているかどうかを確認できます。 グループの場合、ATA はグループの最大 1,000 人のメンバーを一覧表示します。
[ ユーザー アクセス制御 ] セクションの ATA には、注意が必要なセキュリティ設定が表示されます。 ユーザーが Enter キーを押してパスワードをバイパスできる、有効期限が切れないパスワードなど、ユーザーに関する重要なフラグを確認できます。
横移動パスを表示する
[ 横移動パス ] タブを選択すると、完全に動的でクリック可能なマップを表示できます。このマップでは、ネットワークに侵入するために使用できる、このユーザーとの間の横移動パスを視覚的に表現できます。
このマップには、機密性の高いアカウントを侵害するために攻撃者がこのユーザーとの間で行う必要があるコンピューターまたはユーザー間のホップ数の一覧が表示されます。ユーザー自身が機密性の高いアカウントを持っている場合は、直接接続されているリソースとアカウントの数を確認できます。 詳細については、「 横移動パス」を参照してください。
