調査:[イベント分析]ビューで追加のコンテキストを検索する

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode
 

 

このトピックに記載されている情報はRSA NetWitness® Platformバージョン11.2以降に適用されます。以前のバージョンでは、「[ナビゲート]および[イベント]ビューでの追加のコンテキストの検索」で説明されているように、「ナビゲート」ビューおよび「イベント」ビューで追加のコンテキストを検索することができます。

[イベント分析]ビューでは、Context Hubでイベントに関連付けられた要素に関する詳細とインテリジェンスを検索することができます。これらの構成要素またはエンティティは、IPアドレス、ユーザ名、ホスト名、ドメイン名、ファイル名、ファイル ハッシュなどの識別子です。RSA NetWitness Endpointなどの構成されたソースからのデータは、何が起こっているのかを理解するために役立ちます。

注:コンテキスト情報の表示を有効にするには、管理者がContext HubサービスをRSA NetWitness Platformに追加し、『Context Hub構成ガイド』の説明に従って、Context Hubサービスのデータ ソースを構成する必要があります。『システム セキュリティとユーザ管理ガイド』の「ロールの権限」および「ロールと権限によるユーザの管理」で説明されている権限Context Lookupがアナリストに付与されている必要があります。NetWitness Plarform Logs & Network 11.xのすべてのドキュメントの一覧は、「マスター目次」で確認できます。

Context Hubは、複数の構成可能なデータ ソースからのエンティティに関するデータを統合する、一元化されたサービスです。このデータにより、特定のクエリで即座に得られる結果を超えて、追加のコンテキストで調査を拡張することができます。たとえば、Context Hubにより、指定したエンティティがインシデント、アラート、フィード、コミュニティ インテリジェンスの関連資料で言及されているかどうかを確認することができます。

[イベント]パネル、イベント ヘッダー、[イベント メタ]パネルには、下線付きのエンティティが表示されます。エンティティに下線がある場合、NetWitness PlatformがContext Hubにそのエンティティ タイプに関する情報を追加していることを意味します。つまり、Context Hubに、そのエンティティに関する追加情報が存在する可能性があります。

注:使用可能なコンテキスト情報を持つActive Directoryエンティティには下線が引かれませんが、これらのエンティティにカーソルを合わせると、使用できるコンテキスト情報があるかどうかを確認できます。

次の図は、コンテキスト ツールチップを開いた[イベント]パネルの下線付きエンティティを示しています。

example of underlined events and the hover box in the Event Analysis view
コンテキスト ツールチップには、2つのセクションがあります。[コンテキストのハイライト]と[アクション]です。

  • [コンテキストのハイライト]セクションの情報は、必要なアクションを判断するのに役立ちます。インシデント、アラート、リスト、エンドポイント、Live Connect、重要度、資産リスクの関連するデータを表示できます。データによっては、これらのアイテムをクリックして詳細を確認できます。
  • [アクション]セクションでは、使用可能なアクションを示します。例では、[リストへの追加/削除]、[[調査]>[ナビゲート]への移行]、[Archerへの移行]、[Endpoint Thick Clientへの移行]の各オプションを使用できます。

次の図は、イベント ヘッダーと[イベント メタ]パネルでの下線付きエンティティを示しています。

underlined entities in the Event Header and Event Meta panel

コンテキスト ツールチップの[コンテキストの表示]をクリックすると、Context Hubは構成されたデータ ソースに関連情報を照会し、[コンテキスト検索]パネルがブラウザ ウィンドウの右側から開きます。[コンテキスト検索]パネルには、利用可能になったContext Hubの情報が入力されます。[コンテキスト検索]パネルで、個々のデータ ソースを表示してさらに調べることができます。[コンテキスト検索]パネルで各データ ソースに表示される情報の詳細については、「 [コンテキスト ルックアップ]パネル」を参照してください。また、「アクション」セクションで使用可能なアクションを実行することもできます。

「イベント分析」ビューの[コンテキスト検索]パネルで情報を表示するには、次を実行します。

  1. それぞれのメタ値にカーソルを合わせると、データが使用可能なデータ ソースが表示されます。
    コンテキスト ツールチップには、選択したメタ値に使用できるコンテキスト データのリストが表示されます。
  2. コンテキスト ツールチップの[コンテキストの表示]をクリックして、[コンテキスト検索ル]パネルを開きます。
    ブラウザ ウィンドウの右側から[コンテキスト検索]パネルが開きます。[コンテキスト検索]パネルには、利用可能になったContext Hubの情報が入力されます。
    the Context Lookup panel
  3. エンティティに対してアクションを実行するには、コンテキスト ツールチップで使用可能な次のアクションのいずれかを選択します。[リストへの追加/削除]、[[調査]>[ナビゲート]への移行]、[Archerへの移行]、[Endpoint Thick Clientへの移行]。詳細については、「[調査]>[ナビゲート]への移行」、「Archerへの移行」、「NetWitness Endpoint Thick Clientへの移行」、「ホワイトリストへのエンティティの追加」を参照してください。

    注:Archerデータが使用できない場合、またはArcherデータ ソースが応答しない場合、[Archerへの移行]アクションは無効になります。RSA Archer設定が有効で、正しく設定されていることを確認します。[NetWitness Endpoint Thick Clientへの移行]についても同じことが言えます。このオプションが無効になっている場合は、Endpoint Thick Clientがインストールされ、正しく構成されていることを確認します。

    ホワイトリストへのエンティティの追加

    下線付きの任意のエンティティを、コンテキスト ツールチップから、ホワイトリストまたはブラックリストなどのリストに追加できます。たとえば、誤検知を減らすために、下線付きのドメインをホワイトリストに追加して、関連エンティティから除外します。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、Context Hubのリストに追加する下線付きのエンティティにマウスを合わせます。(コンテキスト データを含むActive Directoryエンティティも追加できますが、下線は付けられません)。
      使用可能なアクションを示すコンテキスト ツールチップが表示されます。
    2. ツールチップの[アクション]セクションで、[リストへの追加/削除]をクリックします。
      [リストへの追加/削除]ダイアログ ボックスに使用可能なリストが表示されます。

    3. 1つ以上のリストを選択し、[保存]をクリックします。
      選択したリストにエンティティが追加されます。[リストへの追加/削除]ダイアログで追加情報を参照してください。

    リストの作成

    [イベント分析]ビューから、Context Hubのリストを作成できます。エンティティのリストをホワイトリストおよびブラックリストととして使用するだけでなく、エンティティの異常な動作を監視するために使用できます。たとえば、調査中、疑わしいIPアドレスとドメインの可視性を高めるために、これらを2つの別々のリストに追加することができます。1つのリストは、コマンド&コントロールの接続に関連している疑いがあるドメインのリストとし、もう1つのリストは、リモート アクセスのトロイの木馬の接続に関連するIPアドレスのものとします。これらのリストを使用してセキュリティ侵害インジケータを特定できます。

    Context Hubのリストを作成するには、次の手順を実行します。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、Context Hubのリストに追加する下線付きのエンティティにマウスを合わせます。(コンテキスト データを含むActive Directoryエンティティも新しいリストに追加できますが、下線は付けられません)。
      使用可能なアクションを示すコンテキスト ツールチップが表示されます。
    2. ツールチップの[アクション]セクションで、[リストへの追加/削除]をクリックします。
    3. [リストへの追加/削除]ダイアログで、[新しいリストの作成]をクリックします。
    4. リスト固有の[リスト名]を入力します。リスト名は大文字と小文字を区別しません。
    5. (オプション)リストの[説明]を入力します。
      適切な権限を持つアナリストは、他のアナリストに送信してさらに追跡と分析を行うために、CSV形式でリストをエクスポートすることもできます。詳細については、「Context Hub構成ガイド」を参照してください。

    [調査]>[ナビゲート]への移行

    エンティティをより詳細に調査するには、[ナビゲート]ビューを開きます。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、下線付きのエンティティの上にマウスを合わせます。(コンテキスト データを持つActive Directoryエンティティも調査できますが、下線は引かれません)。
    2. ツールチップの[アクション]セクションで、[[調査]>[ナビゲート]への移行]を選択します。
      [ナビゲート]ビューが開き、より詳細な調査を実行できます。詳細については、「[ナビゲート]ビューでのメタデータの調査」を参照してください。

    Archerへの移行

    RSA Archer® Cyber Incident & Breach Responseでデバイスの詳細を表示するには、デバイスの詳細ページに移行できます。この情報は、IPアドレス、ホスト、およびMACアドレスに対してのみ表示されます。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、下線付きのエンティティ(IPアドレス、ホスト、MACアドレス)の上にマウスを合わせます。
    2. ツールチップの[アクション]セクションで、[Archerへの移行]を選択します。
    3. アプリケーションにログインしている場合は、「RSA Archerサイバー インシデントおよび侵害対応」が開き、それ以外の場合はログイン画面が表示されます。

     

    注:Archerデータが使用できない場合、またはArcherデータソースが応答しない場合、[Archerへの移行]リンクは無効になります。RSA Archer設定が有効で、正しく設定されていることを確認します。

    詳細については、『Archerとの統合ガイド』を参照してください。

    NetWitness Endpoint Thick Clientへの移行

    NetWitness Endpointシック クライアント アプリケーションがインストールされている場合は、コンテキスト ツールチップから起動できます。そこから、疑わしいIPアドレス、ホスト、MACアドレスをさらに調査できます。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、下線付きのエンティティの上にマウスを合わせます。
    2. ツールチップの[アクション]セクションで、[Endpoint Thick Clientへの移行]を選択します。
      NetWitness Endpoint Thick Clientアプリケーションが、Webブラウザの外で開きます。

注:バージョン4.4のNetWitness Endpoint(NWE)Thick Clientを同じサーバにインストールする必要があります。NWEメタ キーがLog Decoderのtable-map.xmlファイル内に存在する必要があります。また、NWEメタ キーがindex-concentrator-custom.xmlファイル内に存在する必要があります。NWE Thick Clientは、Windows専用のアプリケーションです。完全なセットアップ手順は、バージョン 4.4の「NetWitness Endpoint User Guide」を参照してください。

 
You are here
Table of Contents > [イベント分析]ビューでのRAWイベントとメタ データの分析 > [イベント分析]ビューでの追加のコンテキストの検索

Attachments

    Outcomes