検出（Discovery）

検出レポートは、DNS クエリおよび VPC フローログからアウトオブバンド トラフィック情報を取得し、そのデータを脅威インテリジェンスおよびクラウドインベントリ情報と関連付けることによって生成されます。これらのログは、S3 バケットにログを送信するようにクラウド サービス プロバイダーの VPC を設定した場合にのみ使用できます。これらのログは、Multicloud Defense Controller に直接転送されます。

レポートには以下の内容が含まれます。

• 検出レポートの上部：ネットワークおよびクラウドアセットの分析。フィールド値の量および個別の数で表示されます。ネットワークの動作を定量化することで、クラウド環境で何が起こっているかについてのインサイトを得ることができます。

• [ネットワークトラフィック-バイト（Network Traffic – Bytes）]：このグラフには、トラフィックの方向別のバイト単位の量が表示されます。バイト単位の量の移動先（入力、出力、または East-West）を表示できます。

• [ネットワークトラフィック-パケット（Network Traffic – Packets）]：このグラフには、トラフィックの方向別のパケットの量が表示されます。パケットの量の移動先（入力、出力、または East-West）を表示できます。

• [ネットワークトラフィック-イベント（Network Traffic – Events）]：このグラフには、トラフィックの方向別のイベントの量が表示されます。イベントの量の移動先（入力、出力、または East-West）を表示できます。

• [入力アカウントサマリー（Ingress Account Summary）]：この概要には、入力ネットワークトラフィックを持つクラウドアセットの個別の数が CSP ごとに表示されます。CSP 環境と通信するアセットのフローを確認できます。

• [出力アカウントサマリー（Egress Account Summary）]：この概要には、出力ネットワークトラフィックを持つクラウドアセットの個別の数がクラウド サービス プロバイダー（CSP）ごとに表示されます。CSP 環境から通信するアセットのフローを確認できます。

• [国別の入力ネットワークイベント（Ingress Network Events by Country）]：この地理的なヒートマップは、国別の入力トラフィックの量を示します。クラウド環境と通信している国を確認できます。

• [国別の出力ネットワークイベント（Egress Network Events by Country）]：この地理的なヒートマップは、国別の出力トラフィックの量を示します。クラウド環境と通信している国を確認できます。

• [上位10の送信元国（Top 10 Source Countries）]：このグラフには、イベントのボリュームが多い上位 10 の送信元の国が、その他のネットワーク分析とともに表示されます。これは、クラウド環境が通信している上位の送信元国の概要を示します。

• [上位10の接続先国（Top 10 Destination Countries）]：このグラフには、イベントのボリュームが多い上位 10 の接続先の国が、その他のネットワーク分析とともに表示されます。これは、クラウド環境が通信している上位の接続先国の概要を示します。

• [上位10の入力送信元IPアドレス（Top 10 Ingress Source IP Addresses）]：このグラフには、ボリュームが多い上位 10 の送信元 IP アドレスが、その他のネットワーク分析とともに表示されます。最も多くのインバウンドイベントを作成するエンティティを確認できます。

• [上位10の出力宛先IPアドレス（Top 10 Egress Destination IP Addresses）]：このグラフには、ボリュームが多い上位 10 の宛先 IP アドレスが、その他のネットワーク分析とともに表示されます。クラウド環境が主に通信しているエンティティを確認できます。

• [ボリューム別の上位10のFQDNカテゴリ名（Top 10 FQDN Category Names by Volume）]：このグラフには、FQDN のボリューム別のカテゴリ名が表示されます。クラウド環境によって要求されている FQDN に基づいて、上位のカテゴリタイプを確認できます。

• [ボリューム別の上位10のFQDN（Top 10 FQDNs by Volume）]：このグラフには、ボリューム別の上位 10 個の FQDN が表示されます。クラウド環境によって要求されている上位の FQDN を確認できます。

• [ボリューム別の上位10の悪意のあるFQDN（Top 10 Malicious FQDNs by Volume）]：このグラフには、ボリューム別の上位 10 個の悪意のある FQDN が表示されます。悪意のあるカテゴリ名または不審なカテゴリ名が見つかった場合は、そのカテゴリ名の上位の FQDN がここに表示されます。

• [MITRE ATT&CKにマッピングされたFQDNカテゴリ名（FQDN Category Name Mapped to MITRE ATT&CK）]：このグラフには、MITRE ATT&CK にマッピングされた上位 10 個の悪意のあるカテゴリ名が表示されます。このビューは、Enterprise MITRE ATT&CK フレームワークを使用して、FQDN カテゴリ名が攻撃チェーンにどのように関連しているかに関する詳細なコンテキストを提供します。

脅威インジケータのスナップショット

クラウドの可視性レポート - 脅威インジケータのスナップショットレポートは、ゲートウェイインスタンスのデータを編集したものです。このレポートを使用して、トラフィックパターン、しきい値を超えたタイミングとその方法、攻撃の傾向、および特定のインスタンスを調べることで、緊急時のゲートウェイの耐久性を判断できます。レポートには次の項目が含まれます。

• [IDS/IPS検出（IDS/IPS Detection）]：このデータには、検出された攻撃の数、攻撃のタイプ、検出された攻撃の時間、および選択した時間範囲における上位 10 個の IDS/IPS シグニチャが表示されます。

• [WAF 検出（WAF Detection）]：このデータには、WAF ルールによって検出された攻撃の数、検出された攻撃の時間、および選択した時間範囲における上位 10 個の WAF シグニチャが表示されます。

• [ボリューム別の脅威の再配置（Relocation of Threats by Volume）]：このコロプレスマップは、WAF イベントと IDS/IPS イベント両方の攻撃ボリュームを国別に示します。

• [ボリュームと時間別の上位10の攻撃国（Top Ten Attacking Countries by Volume and Time）]： この水平棒グラフは、期間全体で最も多くのイベントが作成された上位 10 か国のボリュームを示し、さらにそのボリュームを期間中にイベントが発生した時間単位で分割して表示します。

• [ポリシーと防御（Policy and Prevention）]：このデータチャートには、展開されている CSP 環境を問わず、ゲートウェイ セキュリティ タイプによって実行されたアクションが表示されます。これには、アクションのタイプ、アクションから生成されたイベントの数、ゲートウェイ セキュリティ タイプなどが含まれます。

Multicloud Defense Gateway がデータを収集してポーリングするには、Web アプリケーション ファイアウォール（WAF）、侵入検知および防御（IDS/IPS）ルールがポリシーで有効になっている必要があります。

詳細については、次を参照してください。