UEBA:高リスク ユーザの特定

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode

環境内の高リスク ユーザは、次の方法で特定できます。

  • 上位5人の高リスク ユーザを表示する
  • すべての高リスク ユーザを表示する
  • 特定のグループのユーザを表示する
  • フォレンジック調査に基づいてユーザを表示する

上位5人の高リスク ユーザの表示

OVERVIEW]タブには、環境内の上位5人の高リスク ユーザのリストが表示され、各ユーザのスコアも表示されます。

上位5人の高リスク ユーザを表示するには、次の手順に従います。

NetWitness Platformにログインして、[調査]>[Users]にアクセスします。
[OVERVIEW]タブの[High Risk Users]パネルに高リスク ユーザが表示されます。
Overview tab, High Risk Users panel

すべての高リスク ユーザの表示

Users]タブには、環境内のすべての高リスク ユーザのリストが表示され、同時に各ユーザのスコアと、関連付けられているアラートの合計数も表示されます。

すべての高リスク ユーザを表示するには、次の手順に従います。

  1. NetWitness Platformにログインして、[調査]>[Users]にアクセスします。
    [OVERVIEW]タブが表示されます。

  2. USERS]タブをクリックします。
    すべての高リスク ユーザのリストが表示されます。

特定のグループのユーザの表示

USERS]タブでは、さまざまな種類のフィルタを使用して、ターゲットとする高リスク ユーザのグループを特定できます。

特定のグループのユーザを表示するには、次の手順に従います。

  1. NetWitness Platformにログインして、[調査]>[Users]にアクセスします。
    [OVERVIEW]タブが表示されます。

  2. USERS]タブをクリックします。
  3. Filters]パネルで、次のいずれかを実行します。
    • 高リスク ユーザ:環境内のすべての高リスク ユーザを表示するには、[Risky Users]を選択します。デフォルトでは、高リスク ユーザとそのユーザ スコアが表示されます。

    • ウォッチリスト ユーザ:特定の変更を監視するためにウォッチリストに追加したユーザのリストを表示するには、[Watchlist Users]を選択します。

    • 管理者ユーザ:イベントで管理者と判断されたすべてのユーザを表示するには、[Admin Users]を選択します。

注:1つ以上のフィルタを選択して、1つ以上のグループのユーザを表示できます。たとえば、リスクの高い管理者ユーザのリストを表示する場合は、[Admin Users]および[Risky Users]のフィルタを選択します。

フォレンジック調査に基づいたユーザの表示

USERS]タブでは、行動フィルタとして、アラート タイプおよびインジケータを指定して、フォレンジック調査に基づいた高リスク ユーザを表示できます。フォレンジック調査の詳細については、「概要」トピックの「フォレンジック ワークフロー」を参照してください。

特定のフォレンジック調査に基づいてユーザを表示するには、次の手順に従います。

  1. NetWitness Platformにログインして、[調査]>[Users]にアクセスします。
    [OVERVIEW]タブが表示されます。

  2. USERS]タブをクリックします。
  3. アラート タイプを使用して行動フィルタを作成するには、[Alert Types]ドロップダウン リストで1つ以上のアラートを選択します。

  4. インジケータを使用して行動フィルタを作成するには、[Indicators]ドロップダウン リストで1つまたは複数のインジケータを選択します。

注:1つ以上のアラート タイプおよびインジケータの組み合わせを選択して、要件に基づいて行動フィルタを作成することができます。たとえば、機密ファイルへの異常なアクセスや機密データの盗難を監視するには、アラート タイプとしてAbnormal File Accessを、インジケータとしてAbnormal File Action Operation Typeを選択し、行動フィルタを作成できます。

これらの行動フィルタは、今後の調査のためにお気に入りとして保存します。

You are here
Table of Contents > 高リスク ユーザの調査 > 高リスク ユーザの特定

Attachments

    Outcomes