UEBA:[USERS]ビュー

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • Comment0
  • View in full screen mode

USERS]タブは、プロアクティブな脅威ハンティング コンソールです。行動フィルタを使用して、ユースケース指向のターゲット リストを作成し、特定の高リスクな行動パターンを継続的に監視することができます。

ワークフロー

Investigate Top Users and Alerts workflow diagram

実行したいことは何ですか?

                                                   
ユーザ ロール実行したいことドキュメント
UEBAアナリスト

高リスク ユーザを表示する。(*)

高リスク ユーザの特定

UEBAアナリスト

アラート タイプとインジケータに基づいてユーザを表示する。(*)

高リスク ユーザの特定

UEBAアナリスト高リスク ユーザの調査を開始する。高リスク ユーザの調査の開始
UEBAアナリスト

高リスク ユーザに対するアクションを実行する。(*)

 

高リスク ユーザに対するアクション
UEBAアナリスト高リスク ユーザをエクスポートする。(*) 高リスク ユーザのエクスポート
UEBAアナリストクリティカルなアラートの調査を開始する。上位アラートの調査
UEBAアナリスト脅威インジケータを調査する。インジケータの調査

(*)これらのタスクはこのビューで完了できます。

関連トピック

簡単な説明

次の図に[USERS]タブを示します。

Users tab with callouts for each panel

このビューにアクセスするには、次の手順を実行します。

  1. [調査]>[Users]に移動します。

    [OVERVIEW]タブが表示されます。

  2. USERS]タブをクリックします。

[USERS]タブは以下のパネルで構成されます。

                     
1[Filters]パネル
2[Favorites]パネル
3

[Risk Indicator]パネル

4[User List]パネル

[Filters]パネルのフィルタ

[Filters]パネルには3つの事前定義されたフィルタがあり、それぞれに関連付けられたユーザ数が括弧内に表示されます。

次の表は、フィルタ タイプの説明です。

                       
フィルタ タイプ説明
Risky Usersリスク スコアが0より大きいすべてのユーザ。
Watchlist Users

現在監視対象のフラグが設定されているすべてのユーザ。

Admin Users

以前に管理者のタグが設定されたすべてのユーザ。

[Favorites]パネル

[Favorites]パネルには、お気に入りとして保存された行動プロファイルのリストが表示されます。

次の表は、行動プロファイルのフィルタ タイプの説明です。

                   
フィルタ説明
Alert Types

サポートされている個別のユースケース(ブルート フォース攻撃、ユーザ スヌーピング、異常なAD変更、データ窃取など)を表す既存のアラート タイプのいずれか。

Indicators

NetWitness UEBAによってモデル化された既存の行動のいずれか。このフィルタを使用して、特定のデータ ソースまたはアプリケーションからのアラートのみをターゲットにすることもできます。

[Risk Indicator]パネル

[Risk Indicator]パネルには、ターゲット ユーザの重大度の内訳が表示されます。

次の表で[Risk Indicator]パネルの構成要素を説明します。

                           
重大度
クリティカル
オレンジ

[User List]パネル

[User List]パネルでは、環境内のすべての高リスク ユーザのリストが、ユーザ スコアと、ユーザに関連付けられているアラートの合計数とともに表示されます。

次の表で[User List]パネルの構成要素を説明します。

                                       
User Data説明

ユーザ名

ユーザの名前。
スコアユーザのユーザ スコア。
アラート数ユーザに対して生成されたアラートの合計数。
Sort by

ドロップダウン メニューで、リストのソート方法を選択できます。選択可能なオプションは、[Risk Score]、[Name]、[Alerts]です。

Export

すべてのユーザとそのスコアのリストをCSVファイル形式でエクスポートします。

Add All to Watchlist

フィルタしたビューのすべてのユーザをウォッチリストに追加します。

Search User

入力されたユーザ名を検索し、一致するユーザをリストから選択します。

You are here
Table of Contents > 参考情報 > [USERS]ビュー

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (Japanese)26 Views
      Last modified on Apr 29, 2019 3:15 AM
      Ratings: