対応関係ダッシュボード
相関ダッシュボードには、イベントと記録された将来のリスクリスト間の相関関係が表示されます。 相関に使用されるリスクリストは、選択した相関ダッシュボードのタイプによって異なります。 デフォルトでは、過去 24 時間のイベントのみが使用されます。
相関ダッシュボードは、使用されるイベントに正しいタイプのエンティティが含まれていることを確認するように設定する必要があります(たとえば、IPアドレスのリスクリストがIPアドレスを含むイベントと一致する場合など)。
相関ダッシュボードには、次の 4 つの要素があります。
- [概要] には、1 つ以上のイベントに一致することが判明したエンティティの数が表示されます。
- 「Top Rule Hits」には、これらのエンティティによってトリガーされるルールが表示されます。
- 「上位カウント」には、エンティティと、それらが一致したイベントの数が表示されます。
- 「高リスク」には、リスク情報と一致するエンティティが含まれます。
ダッシュボードのセクション
概要
「サマリー 」には、リスク・リストで一致が見つかったイベントの数が表示されます。
上位ルール ヒット
セクション「上位のルールヒット」には、一致するエンティティによってトリガーされたすべての記録された将来のルールのリストが含まれ、ルールをトリガーしたエンティティの数でソートされます。
上位カウント
セクション「上位カウント」には、イベントに一致したすべてのエンティティが一覧表示され、リストはエンティティが一致したイベントの数で並べ替えられます。 エンティティをクリックすると、対応するエンリッチメントダッシュボードが新しいウィンドウに表示されます。
高リスク
これは、一致したエンティティがリスクの降順でリストされたテーブルです。 「リスク」列は、リスク・スコアに従って順序付けされ、色分けされています。
| 畑 | 説明 |
|---|---|
| リスク | Recorded Futureによってエンティティに割り当てられたリスクスコア |
| 組織 | 一致したエンティティ |
| 数える | エンティティに一致するイベントの数 |
| 準則 | Recorded Future によってこのタイプのエンティティに設定されたルールの合計数のうち、エンティティに対してトリガーされた Recorded Future ルールの数。 |
| 証拠 | トリガーされた各ルールは、重要度の降順で一覧表示されます。 重要度は、行の先頭にある色分けされたドットで示されます。 ルールは太字で記述され、その後に詳細が通常のテキストで記述されます。 |
詳細情報は、次の 2 つのドリルダウン オプションで取得できます。
- IPアドレスやドメインなどのエンティティをクリックして、新しい検索ウィンドウを開き、エンティティに関連するイベントを探します。
- 線の他の部分をクリックして、エンティティのエンリッチメント ダッシュボードを開きます。
構成
相関ダッシュボードの設定方法については、「ダッシュボード→適応および調整→ヘルプ」を参照してください。
さらにヘルプ
「Recorded Future App for Splunk Enterprise」は、Recorded Future社によって開発されました。
詳細情報とサポートは、サポートWebサイト( support.recordedfuture.com