UEBA:[ALERTS]ビュー

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • Comment0
  • View in full screen mode

[ALERTS]タブには、環境内のすべてのアラートの詳細が表示されます。特定の期間を指定して、環境内の不審なアクティビティに関するフォレンジック情報を表示できます。

ワークフロー

Investigate Top Users and Alerts workflow diagram

実行したいことは何ですか?

                                      
ユーザ ロール実行したいことドキュメント
UEBAアナリスト環境内のアラートを調査する。(*) 上位アラートの調査
UEBAアナリスト

調査のターゲットを絞り込むため、アラートをソートする。(*)

アラートのフィルタ
UEBAアナリスト

脅威インジケータに基づいてインシデントを調査する。(*)

インジケータの調査
UEBAアナリストアラート データをスプレッドシート形式で共有する。上位アラートの管理
UEBAアナリストユーザ アラートのサマリを迅速に確認する。ユーザ アラート サマリの表示

(*)これらのタスクはこのビューで完了できます。

関連トピック

簡単な説明

Alerts tab with callouts for each panel

このビューにアクセスするには、次の手順を実行します。

  1. [調査]>[Users]に移動します。

    [OVERVIEW]タブが表示されます。

  2. ALERTS]タブをクリックします。

[ALERTS]タブは以下のパネルで構成されます。

             
1[Filters]パネル
2[ALERTS]パネル

[Filters]パネル

[Filters]パネルを使用して、調査対象のアラートを絞り込みます。選択すると、フィルタが自動的に適用されます。[Clear]をクリックすると、現在設定されているすべてのフィルタをクリアできます。

次の表は、フィルタ タイプの説明です。

                                      
フィルタ名説明オプション
Severity

選択された1つ以上の重大度レベルのアラートが含まれるよう、アラートのリストをフィルタします。

[Critical]、[High]、[Medium]、または[Low]
Feedback選択された1つ以上のフィードバック タイプのアラートが含まれるよう、アラートのリストをフィルタします。[Select All]、[No Feedback]、または[Not a Risk]
Entity特定のユーザ名のアラートのみが含まれるよう、アラートのリストをフィルタします。NA
Indicators選択された1つ以上のインジケータのアラートを含むように、アラートのリストをフィルタします。

インジケータの例は次のとおりです。

  • Active Directory - Abnormal Logon Time
  • Authentication - Logged onto Multiple Computers
  • Multiple File Access Failures

Date Range

特定の期間に作成されたアラートを含むように、アラートのリストをフィルタします。

[Last Week]、[Last Month]、または任意の期間

[ALERTS]パネル

[ALERTS]パネルには、各アラートの次の情報が表示されます。

  • 重大度アイコン:アラート名の横にある、アラートの重大度レベルを示すアイコン
  • Alert Name:アラート の名前とアラートの期間
  • Entity Name:アラートを生成したエンティティ(ユーザ アカウント)の名前
  • Start Time:このアラートが最初に検知された日付と時刻
  • # Indicators:アラートに関連付けられている固有の行動の異常(インジケータ)の数
  • Status:アラートが[Unreviewed]または[Not A Risk]に設定されている場合に表示されます。
  • Feedback:アラートにフィードバック値が割り当てられているかどうかを示します。

各アラート行の先頭には、アラートを展開して詳細を表示するアイコンがあります。アラートを展開すると、次のフィールドが表示されます。

  • インジケータ名 - アラートに関連付けられている各インジケータの名前
  • 異常値 – ユーザの通常の行動から逸脱している度合いを表すインジケータの値
  • データ ソース – インジケータが発見されたデータのタイプ
  • 開始時刻 – このインジケータが最初に検知された日付と時刻
  • #イベント – インジケータ内のイベントの数

中央のペインに現在表示されているデータは、ペインの右上にある[Export]をクリックしてCSVファイルにエクスポートできます。

Previous Topic:[USERS]ビュー
You are here
Table of Contents > 参考情報 > [ALERTS]ビュー

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (Japanese)25 Views
      Last modified on Apr 29, 2019 3:15 AM
      Ratings: