証拠ロッカーを使用した窃盗イベントの詳細の表示

ファイルインベントリ内のファイルがデータ窃盗イベントに関連する場合、そのファイルは Arctic Wolf が管理する AWS インスタンスに保存され、テナントごとに異なるキーで暗号化され、証拠ロッカーに追加されます。窃盗イベントに関連するファイルは、証拠ロッカーから表示またはダウンロードできます。

証拠ファイルの収集を、情報保護設定で有効にしておく必要があります。詳細については、「データ収集設定の構成」を参照してください。

  1. 管理コンソールのメニューバーで、[Avert] > [証拠ロッカー]をクリックします。
    証拠ロッカーには、データ窃盗イベントに関与した組織内のすべてのファイルのリストが表示されます。次の表では、証拠ロッカーのリストにある情報について説明しています。

    項目

    説明

    追加時刻

    これは、ファイルが証拠ロッカーに追加された時刻です。

    ファイル名

    これは、窃盗イベントに関係したファイルの名前です。

    ファイルサイズ

    これは、窃盗イベントに関係するファイルのサイズです。

    関連イベント

    これらは、ファイルが関連付けられている窃盗イベントです。番号をクリックすると、詳細が表示されます。

    ダウンロード

    これをクリックすると、窃盗イベントに関連するすべてのファイルをダウンロードできます。証拠ファイルは圧縮された .gz ファイルとしてダウンロードされます。ファイルを解凍して表示するには、7zip などのユーティリティツールが必要です。
  2. 関連イベント列の番号をクリックすると、CylanceAVERT イベントが表示されます。
  3. 追加時刻、ファイル名、またはファイルサイズの列をフィルタリングするには、列見出しの 列をフィルターアイコン をクリックします。