はじめに
AMPで発生したEvent情報は、Device TrajectoryのTrajectory(ファイルの生成、コピー、移動やその関連性)とは別に、Malwareの検出などはEvent情報としてAnalysis -> Eventsに表示されます。
こちらのデータの保管はDevice Trajectoryとは異なる動作となっているため、その違いについて説明いたします。
本記事は2018年3月25日現在のAMP Consoleに基づいて記載しており、本記事で紹介している動作については将来的に変更される場合がございます。
Analysis -> EventsとDevice Trajectoryのデータ領域の違い
Device Trajectoryは基本的に端末毎に30日分のデータを保管しており、それよりも古いデータは残りません。
Device Trajectoryに関しては、以下をご確認ください。
事象:Device Trajectoryで過去に表示されていたファイルのイベントが表示されない
しかし、Analysis -> Eventsの情報に関しては30日よりも古いデータが保管されている場合がございます。Eventsのデータ領域は、お客様の契約上の端末数に応じ、弊社が想定している一般的な端末で使用するであろう30日分の領域を固定で割り当てるためです。Eventsに関しては、Device Trajectoryと異なり、端末毎の領域ではなく、一つのBusiness単位で固定の領域が割り当てられます。
したがいまして、お客様環境全体の中で、端末上のファイル生成などDevice Trajectoryに掲載される情報が多い場合であっても、Malware検知などの、Eventの量が少ない場合は、30日以前の情報をAnalysis -> Eventsもしくは、Device Trajectory上から確認することが可能です。以下の例では、Device Trajectoryが直近30日分までしか表示はされていないものの、Eventsの情報からそれより古い情報が表示されていることが確認出来ます。
逆に全体のEvent数が多い場合は、1ヶ月に満たない日数のログのみ表示される場合もございます。
対策
Events -> Analysisの情報に関しては、CSVのデータを保管することが、可能となっております。
必要に応じて、ローカルに保存いただきますようお願いします。
Analysis -> Eventsの下方よりExport to CSVのボタンがあり、こちらからデータを保存することが可能です。
もしくはAPIを用いて、JSONでEvent情報を取得することが可能です。
Cisco AMP for Endpoints APIの使い方について