企業全体にわたる相関異常
[企業全体にわたる相関異常]テーブルには、ネットワークに損害を与える可能性が最も高い異常動作の要約が表示されます。 悪意のあるアクティビティが疑われる場合は、調査を開始できるネットワーク上の場所をこのビューで特定できます。
nfa1000
[企業全体にわたる相関異常]
テーブルには、ネットワークに損害を与える可能性が最も高い異常動作の要約が表示されます。 悪意のあるアクティビティが疑われる場合は、調査を開始できるネットワーク上の場所をこのビューで特定できます。単一の異常ではなく、異常クラスタを調べた方が問題がよくわかります。 攻撃タイプの多くが、異常なネットワーク動作の複数インスタンスに関与しています。 インスタンスは、まず、少数のホストのグループの周りでクラスタ化され、次に、動作が展開動作で広がります。 展開動作では、外見的に無関係なデバイスが影響を受け、予期しないトラフィックが複数のソースから作成されます。
相関は、監視対象ネットワーク トラフィックのタイプごとに典型的なパターンを考慮するアルゴリズムを使用することにより実行されます。
以下の要件が満たされる場合、異常には
相関性
があります。- 3 つ以上の異常インスタンスが存在します。
- 2 種類の異常タイプが存在するか、またはそれらの異常タイプの Anomaly Index が 2.0 以上です。
- 1 つのデバイスが異常の原因になっています。
以下のビュー設定を編集できます。
- ページ上のすべてのビューのタイム フレーム
- ビューのタイトルとコンテキスト
このビューはデフォルトでは Performance Center コンソール内の
Anomaly Detector
ページに含まれています。このビューは、異常なネットワーク動作に関する以下の情報を提供します。
- ホスト異常な動作を表示するホストの IP アドレス。 ホストになり得るのは、クライアント コンピュータ、サーバ、ルータ、またはインターフェースです。 プログラムは、IP アドレスのホスト名を解決すること、および[ホスト]フィールドにその名前を表示することを試みます。
- Anomaly Index役割によってプライマリまたはセカンダリのいずれかとして重み付けされた、クラスタ内の異常の数です。 異常相関アルゴリズムは、それぞれの特定の動作をネットワーク トラフィック タイプの典型的なパターンと比較します。 インデックス番号が大きいほど、問題の重大度が高くなります。
- タイプ数レポート期間中に異常なネットワーク動作が何種類発生したか。
- 日付ホストで相関異常が最初に検出された日付と時刻。時刻はフローが実際に発生した時間から最大で 15 分ずれる場合があります。 データは分析のために Harvester から 15 分間隔で取得(プル)されます。
- データ リンク[Anomaly Detector ドリルイン]テーブルに移動するには、[企業全体にわたる相関異常]ビューの[日付]リンクをクリックします。