インシデントグラフアイコン(EDR)
以下の表は、EDRインシデントのインシデントグラフで利用可能なノードアイコンを示しています。
ノードには同じタイプの複数の個別ノードを含めることができます。アイコンには、グループ化されたノードの数を示す数字が表示されます。例えば、
はインシデントに100以上のプロセスがあることを示しています。グループ化されたノードの数が100未満の場合、実際の数が表示されます。
脅威ノードは信頼レベルを示すために色分けされています。赤いアイコンは悪意のある検出を示し、オレンジのアイコンは疑わしい検出を示します。折りたたまれた脅威グループは「+」アイコンを表示し、クリックすると展開して個々のMITREテクニックまたはルールノードを表示できます。
| アイコン | 説明 |
|---|---|
|
一般的またはインジェクトされたプロセスを示す侵害の指標(IoC)。 アイコンには、処理名(processname.exeなど)がラベル表示されます。 |
|
一般的な文書、実行ファイル、またはスクリプトファイルを示す侵害の指標(IoC)。 アイコンには、ファイル名(filename.dllなど)がラベルとして表示されます。 |
|
URLを示す侵害の指標(IoC)。 アイコンには、URL(abc.comなど)がラベルとして表示されます。 |
|
攻撃の指標(IoA)。 アイコンには、IoAの名前(Minikatzなど)がラベルとして表示されます。 |
|
ワークロード アイコンには、ワークロード名(DESKTOP-D123など)がラベルとして表示されます。 |
|
IDおよびアクセス管理(ユーザー) アイコンには、ユーザーアカウントID(例: david.smith@b.com)がラベル付けされています。このノードには、エージェントによってローカルで取得された情報が含まれています。Microsoft APIへの接続は必要ありません。 |