デジタル・インプレッション

デジタル・インプレッション は、アイデンティティー証跡を識別する関係をまとめたものです。 デジタル・インプレッションはネットワーク関係を再構成し、攻撃元エンティティーのアイデンティティー、通信方法、および通信相手を突き止めることを支援します。

以下のような重要な疑問に対する答えを迅速に得るには、デジタル・インプレッション・ツールを使用します。

• この疑わしい攻撃者、コンピューター、または IP アドレスについて何が分かっているか。
• この疑わしい攻撃者と対話したことがあるのは誰か。
• 疑わしい攻撃者が接触しているネットワーク内に誰がいるか。
• この攻撃者は、アイデンティティーを偽ろうとしているか。

オンライン ID

オンライン ID (E メール・アドレス、Skype アドレス、MAC アドレス、チャット ID、ソーシャル・メディアの ID、Twitter の ID など) は、エンティティーや個人の識別に使用されます。 ネットワーク・トラフィックおよび文書で検出される既知のエンティティーや個人には自動的にタグが付けられます。

IBM® QRadar® Incident Forensics は、デジタル・インプレッションを生成するために、相互に対話したタグ付きの ID を相関させます。

デジタル・インプレッション・レポートのコレクション関係は、攻撃者、ネットワーク関連のエンティティー、またはデジタル・インプレッション・メタデータの用語に関連する、継続的に収集された電子的存在を表します。 調査担当者は、文書に関連付けられた任意のタグ付きデジタル・インプレッション ID をクリックすることができます。 得られるデジタル・インプレッション・レポートは表形式でリストされ、ID タイプごとに編成されています。

関係情報の取得

デジタル・インプレッション・レポートには、 中心 ID とそれ以外のすべての ID との間の対話が示されます。 中心 ID とは、セキュリティー・インシデントにおいて着目の起点にするオンライン ID のことです。

通常、多くのカテゴリーで最上位を占める ID は、その ID タイプまたはカテゴリーにおける中心 ID のアイデンティティーです。 例えば、ID が MAC アドレスである場合、最も対話が多い E メール・アドレスが、そのMAC アドレスのコンピューターを所有している疑わしい攻撃者に帰属している可能性があると考えられます。 しかし、IP アドレスが動的に割り当てられる場合は、 一定の時間範囲にわたって割り当てられていた IP アドレスも調査する必要があります。

通常は、 他のカテゴリーと中心 ID の間の相関関係はあまり強くありません。 デジタル・インプレッションに基づいて行動の決定を下す前に、複数の独立したソースでデータを検証してください。 デジタル・インプレッション・ツールを使用して、さらなる疑わしい攻撃者やエンティティーに調査の範囲を広げてください。