UEBA:インジケータの調査

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode

[ALERTS]タブでは、アラートを構成するすべてのインジケータを表示できます。各インジケータには、その異常値もかっこ内に表示されます。インジケータの名前、インジケータ タイプの説明、異常値、およびインジケータで検知されたイベントのデータソースが表示されます。特定のインジケータの詳細をチャートに表示することもできます。インジケータを調査するため、[調査]>[イベント]ビューに移行して、その期間の関連するアクティビティを探すことができます。[USERS]ビューでは、移行可能な値が水色でハイライト表示され、値をクリックして[イベント]ビューを開くことができます。[イベント]ビューでは、選択した値がすべてのメタ キーに設定され、時間範囲は1日に設定されます。時間範囲は変更できます。

アラートを構成するすべての脅威インジケータを表示するには、次の手順を実行します。

  1. NetWitness Platformにログインして、[調査]>[Users]>[ALERTS]にアクセスします。
  2. ALERT NAME]列の下で、アラート名をクリックします。
    インジケータが表示され、それぞれの異常値、データソース、および開始時刻が表示されます。
    User Profile view with indicators displayed
  3. Alert Flow]の下にあるグラフ アイコンをクリックします。
    異常が発生したタイムラインやインジケータに関連づけられたユーザなど、特定のインジケータに関する詳細がグラフに表示されます。次の図にグラフの例を示します。グラフのタイプは、NetWitness UEBAが実行する分析のタイプによって異なります。詳細については、「[User Profile]ビュー」を参照してください。
    User Provile view, alert flow graph

[イベント]ビューに移行するには、次の手順を実行します。

  1. 調査]>[Users]に移動し、アラートまたはユーザを選択します。
  2. User Risk Score]パネルで、アラート名を選択します。
    アラートの下にインジケータが表示されます。
    User Risk Score with Alert and Indicators
  3. 関心のあるインジケータを選択します。
    移行に使用できる値は、パネルの下部に水色でハイライト表示されます。
    User Profile view with values to use for pivot to Investigate
  4. 水色でハイライト表示されたインジケータの構成要素をクリックします。
    [イベント]ビューが開き、インジケータの構成要素の詳細が表示されます。
    [イベント]ビューの日付は、アラートが発生した日です。検索フィールドのテキストは、選択した値です。表示されるイベントは、選択した値に関連するすべてのイベントです。

[イベント]ビューで関心のあるアイテムを調査する方法については、『NetWitness Investigateユーザ ガイド』の「[イベント]ビューでのRAWイベントの調査」を参照してください。

脅威インジケータの詳細については、「概要」の「脅威インジケータ」を参照してください。

You are here
Table of Contents > 上位アラートの調査 > インジケータの調査

Attachments

    Outcomes