on Apr 29, 2019環境内の高リスク ユーザは、次の方法で特定できます。
- 上位5人の高リスク ユーザを表示する
- すべての高リスク ユーザを表示する
- 特定のグループのユーザを表示する
- フォレンジック調査に基づいてユーザを表示する
上位5人の高リスク ユーザの表示
[OVERVIEW]タブには、環境内の上位5人の高リスク ユーザのリストが表示され、各ユーザのスコアも表示されます。
上位5人の高リスク ユーザを表示するには、次の手順に従います。
NetWitness Platformにログインして、[調査]>[Users]にアクセスします。
[OVERVIEW]タブの[High Risk Users]パネルに高リスク ユーザが表示されます。
すべての高リスク ユーザの表示
[Users]タブには、環境内のすべての高リスク ユーザのリストが表示され、同時に各ユーザのスコアと、関連付けられているアラートの合計数も表示されます。
すべての高リスク ユーザを表示するには、次の手順に従います。
-
NetWitness Platformにログインして、[調査]>[Users]にアクセスします。
[OVERVIEW]タブが表示されます。 - [USERS]タブをクリックします。
すべての高リスク ユーザのリストが表示されます。
特定のグループのユーザの表示
[USERS]タブでは、さまざまな種類のフィルタを使用して、ターゲットとする高リスク ユーザのグループを特定できます。
特定のグループのユーザを表示するには、次の手順に従います。
-
NetWitness Platformにログインして、[調査]>[Users]にアクセスします。
[OVERVIEW]タブが表示されます。 - [USERS]タブをクリックします。
- [Filters]パネルで、次のいずれかを実行します。
- 高リスク ユーザ:環境内のすべての高リスク ユーザを表示するには、[Risky Users]を選択します。デフォルトでは、高リスク ユーザとそのユーザ スコアが表示されます。
- ウォッチリスト ユーザ:特定の変更を監視するためにウォッチリストに追加したユーザのリストを表示するには、[Watchlist Users]を選択します。
- 管理者ユーザ:イベントで管理者と判断されたすべてのユーザを表示するには、[Admin Users]を選択します。
注:1つ以上のフィルタを選択して、1つ以上のグループのユーザを表示できます。たとえば、リスクの高い管理者ユーザのリストを表示する場合は、[Admin Users]および[Risky Users]のフィルタを選択します。
フォレンジック調査に基づいたユーザの表示
[USERS]タブでは、行動フィルタとして、アラート タイプおよびインジケータを指定して、フォレンジック調査に基づいた高リスク ユーザを表示できます。フォレンジック調査の詳細については、「概要」トピックの「フォレンジック ワークフロー」を参照してください。
特定のフォレンジック調査に基づいてユーザを表示するには、次の手順に従います。
-
NetWitness Platformにログインして、[調査]>[Users]にアクセスします。
[OVERVIEW]タブが表示されます。 - [USERS]タブをクリックします。
-
アラート タイプを使用して行動フィルタを作成するには、[Alert Types]ドロップダウン リストで1つ以上のアラートを選択します。
- インジケータを使用して行動フィルタを作成するには、[Indicators]ドロップダウン リストで1つまたは複数のインジケータを選択します。
注:1つ以上のアラート タイプおよびインジケータの組み合わせを選択して、要件に基づいて行動フィルタを作成することができます。たとえば、機密ファイルへの異常なアクセスや機密データの盗難を監視するには、アラート タイプとしてAbnormal File Accessを、インジケータとしてAbnormal File Action Operation Typeを選択し、行動フィルタを作成できます。
これらの行動フィルタは、今後の調査のためにお気に入りとして保存します。