検出イベントの検出データとアイデンティティ データ
システムは、モニタ対象のネットワークで検出された変更を表すイベントのテーブルを生成します。このテーブルを使用して、ネットワークのユーザ アクティビティを確認し、応答方法を決定できます。ネットワーク検出およびアイデンティティ ポリシーは、収集するデータ、モニタするネットワーク セグメント、およびそのために使用する特定のハードウェア インターフェイスの種類を指定します。
検出およびアイデンティティ イベント テーブルを使用して、ネットワークのホスト、アプリケーション、およびユーザに関連付けられている脅威を特定できます。システムには事前定義のワークフロー セットが用意されており、これを使用して、システムで生成されるイベントを分析することができます。また、特定のニーズに合った情報のみを表示するカスタム ワークフローを作成することもできます。
分析用にネットワーク検出およびアイデンティティ データを収集し、保存するには、ネットワーク検出およびアイデンティティ ポリシーを設定する必要があります。アイデンティティ ポリシーを設定した後、アクセス コントロール ポリシーで呼び出して、トラフィックのモニタに使用するデバイスに展開する必要があります。
ネットワーク検出ポリシーは、ホスト、アプリケーション、および権限のないユーザ データを提供します。アイデンティティ ポリシーは、権限のあるユーザ データを提供します。
次の検出イベント テーブルは、[分析(Analysis)] > [ホストおよび分析(Hosts and Analysis)] > [ユーザ(Users)] メニューにあります。
検出イベント テーブル |
検出データが入力されますか。 |
アイデンティティ データが入力されますか。 |
---|---|---|
ホスト(Hosts) |
あり |
なし |
ホストの侵害の兆候 |
あり |
なし |
アプリケーション |
あり |
なし |
アプリケーション詳細(Application Details) |
あり |
なし |
サーバ |
あり |
なし |
ホスト属性(Host Attributes) |
あり |
なし |
検出イベント(Discovery Events) |
あり |
あり |
ユーザの侵害の兆候(User Indications of Compromise) |
あり |
あり |
アクティブ セッション(Active Sessions) |
あり |
あり |
ユーザ アクティビティ(User Activity) |
あり |
あり |
ユーザ (Users) |
あり |
あり |
脆弱性(Vulnerabilities) |
あり |
なし |
サード パーティの脆弱性(Third-Party Vulnerabilities) |
あり |
なし |