Detect

Detectは全てのアラートをドリルダウンで詳細に把握する機能です。
ステラサイバーは機械学習を用いて脅威を検知しています。検知されたアラートはこの画面からドリルダウンして詳細な内容を把握することができます。All Alerts画面からアラート全体を閲覧します。画面に表示されたそれぞれ個別アラートの右部[View]ボタンからAlart Detailアラート詳細を確認します。この画面では件数、時間的推移、脅威度合い、脅威発生地域をひと目で把握することができます。
さらにEventごとに[More Info]ボタンから、イベント詳細Event Detail画面から、アラートスコア、イベントステータス、ディテイル、アクション選択をすることができます。

All Alerts

Detect / All Alerts から開くことができます。

ステラサイバー Detect All Alerts
Alert Types Panel Kill Chain ステージや個々のタクティクス、タグでアラートを絞り込むことができます。
Alerts Status Panel 左パネルでは、発生したアラートタイプの種類と利用可能なアラートタイプの種類を表示します。右パネルでは、発生したアラートのトレンドを表示します。
Alerts Table 利用可能なアラートタイプを発生した件数によってソートして表示します。

Alert Detail

それぞれの Alert の View ボタンをクリックすると Alert の詳細を見ることができます。

ステラサイバー Detect Alert 詳細
Raw Count 発生したアラートの件数を表示します。
Alerts Over Time by Fidelity 発生したアラートの件数の時間的推移を忠実度ごとにグラフで表示します。
Alerts by Fidelity 発生したアラートの件数を忠実度ごとに円グラフで表示します。
Geolocation Map 脅威がどこから発生したのかを世界地図で可視化します。
Alert Detail Table 発生したアラートの詳細をまとめた表。

Event Detail

More Info をクリックすると、イベントの詳細を見ることができます。

ステラサイバー Detect Alert 詳細ステラサイバー Detect Alert 詳細
Alert Score 円は、重要度を色分けして表示します。 オレンジの長方形は、実際のイベントの発生件数と通常時のイベントの発生件数の比較です。
残りフィールドは、
  • Fidelity(忠実度):分析に対する確度
  • Severity(重大度):イベントの重要度
  • Threat Intel(脅威インテリジェンス):IPアドレスの評判。値が高いほど評判が悪い
  • Data Period(データ期間):異常を分析した期間
Event Status イベントに対して、操作ステータスを割り当てることができます。
  • New
  • In Progress
  • Ignored
  • Closed
Actions イベントに対して様々なアクションを実行することができます。
  • MLボタン:教師なし学習にアダプティブラーニングを提供します。同様のイベントを発生させないように機械学習に教えることができます。
  • タグの追加
  • コメントの追加
  • メールの送信
  • 外部アクションの実行:ファイアウォールの遮断、ユーザーの無効化、スクリプトの実行など
Key Fields イベントの評価に最も関係のあるフィールドを表示します。
Details イベントに関係する追加の重要な情報の要約して表示します。