on Apr 29, 2019[ALERTS]タブでは、アラートを構成するすべてのインジケータを表示できます。各インジケータには、その異常値もかっこ内に表示されます。インジケータの名前、インジケータ タイプの説明、異常値、およびインジケータで検知されたイベントのデータソースが表示されます。特定のインジケータの詳細をチャートに表示することもできます。インジケータを調査するため、[調査]>[イベント]ビューに移行して、その期間の関連するアクティビティを探すことができます。[USERS]ビューでは、移行可能な値が水色でハイライト表示され、値をクリックして[イベント]ビューを開くことができます。[イベント]ビューでは、選択した値がすべてのメタ キーに設定され、時間範囲は1日に設定されます。時間範囲は変更できます。
アラートを構成するすべての脅威インジケータを表示するには、次の手順を実行します。
- NetWitness Platformにログインして、[調査]>[Users]>[ALERTS]にアクセスします。
- [ALERT NAME]列の下で、アラート名をクリックします。
インジケータが表示され、それぞれの異常値、データソース、および開始時刻が表示されます。
- [Alert Flow]の下にあるグラフ アイコンをクリックします。
異常が発生したタイムラインやインジケータに関連づけられたユーザなど、特定のインジケータに関する詳細がグラフに表示されます。次の図にグラフの例を示します。グラフのタイプは、NetWitness UEBAが実行する分析のタイプによって異なります。詳細については、「[User Profile]ビュー」を参照してください。
[イベント]ビューに移行するには、次の手順を実行します。
- [調査]>[Users]に移動し、アラートまたはユーザを選択します。
- [User Risk Score]パネルで、アラート名を選択します。
アラートの下にインジケータが表示されます。
- 関心のあるインジケータを選択します。
移行に使用できる値は、パネルの下部に水色でハイライト表示されます。
- 水色でハイライト表示されたインジケータの構成要素をクリックします。
[イベント]ビューが開き、インジケータの構成要素の詳細が表示されます。
[イベント]ビューの日付は、アラートが発生した日です。検索フィールドのテキストは、選択した値です。表示されるイベントは、選択した値に関連するすべてのイベントです。
[イベント]ビューで関心のあるアイテムを調査する方法については、『NetWitness Investigateユーザ ガイド』の「[イベント]ビューでのRAWイベントの調査」を参照してください。
脅威インジケータの詳細については、「概要」の「脅威インジケータ」を参照してください。
Previous Topic:アラートのフィルタ
Next Topic:上位アラートの管理
You are here
Table of Contents > 上位アラートの調査 > インジケータの調査