ナビゲーションをスキップする

InstaQuery ファセットの詳細の使用

InstaQuery ファセットの詳細は、クエリに関係するさまざまなファセットをインタラクティブかつ視覚的に示すため、そのリレーショナルパスを識別したり辿ったりするために利用できます。
ファセットの詳細のサンバーストモデルは、特定のデータセット内の疑わしいアクティビティを特定するのに役立ちます。たとえば、ある環境または複数のゾーンで疑わしいネットワーク接続を検出しようとすると、データの量と複雑さのために、データパターンと異常を特定するのが困難になることがあります。次の画像は、ファセットの詳細でデータを表示およびフィルタリングして、疑わしいアクティビティをすばやく特定する方法を示しています。
次の画像は、特定の IP アドレスへの接続を検索する InstaQuery を作成することによって生成されました。クエリの結果は、デバイス、プライマリイメージパス、宛先ポート、宛先アドレスというファセットを含むサンバースト図として視覚化されています。
ファセットの詳細図のサンプル。
任意のファセットにカーソルを合わせると、関連する値を表示できます。次の画像では、管理者が一番外側のファセットを選択してデバイス名、ネットワーク接続を開始したファイルへのパス、接続に使用されたポート番号、およびリモートシステムの IP アドレスを表示しています。
この画像は、特定のファセットを選択して追加の詳細を表示する方法を示しています。
ファセットにカーソルを合わせると、関連する親ファセットも強調表示され、データポイント間の関係を視覚的に描画するのに役立ちます。上の例では、1 つのデバイスと 1 つの親プロセスが IP アドレスへのほとんどの接続を担当していることがわかります。また、この図は、関連ホストからこの IP アドレスに接続するために多数の異なるネットワークポートが使用されていることを示しています。これは、この図の他の 2 つのホストファセットとは異なります。
また、結果の絞り込みメニューから有用な情報を取得することもできます。各ファセットメニューには、一意の値と各ファセットのオカレンス数が含まれます。次の例では、この IP アドレスへの接続を担当する 2 つのプロセスとして
Google Chrome
と Wscript があることがわかります。
この画像は、ファセットの詳細における特定のファセットの結果を絞り込む方法を示しています。
結果の絞り込みメニューでファセット値をクリックすると、直接関連するファセットが図に表示されます。この機能は、無関係なデータを除外し、より焦点を絞った分析を可能にするのに役立ちます。