UEBA:高リスク ユーザの調査の開始

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode

高リスク ユーザを特定した後は、高リスク ユーザの調査を開始できます。

高リスク ユーザを調査するには、次の手順を実行します。

  1. NetWitness Platformにログインして、[調査]>[Users]にアクセスします。次のいずれかを実行します。

    1. OVERVIEW]タブの[High Risk Users]パネルで、調査するユーザを選択し、ユーザ名またはユーザ スコアのどちらかをクリックします。
    2. USERS]タブで、調査するユーザを選択し、ユーザ名をクリックします。
      [User Profile]ビューが表示されます。
  2. ユーザのアラートを調査するには、[User Risk Score]パネルでアラート名をクリックします。次の情報が表示されます。
    • アラート名
    • アラートの期間(毎時または毎日)
    • 重大度レベル アイコン
    • ユーザ スコア値への貢献度(+20など)
    • アラートのデータ ソース(ログオンなど)
      中央のパネルは[Alert Flow]パネルです。このパネルには、アラートの生成に関連するイベントのタイムラインが表示されます。イベントのタイムラインは、アラートが実際のリスクであるかどうかを判断するのに役立ちます。
  3. ユーザのアラートに関連付けられているインジケータを調査するには、[User Risk Score]パネルでアラートを選択し、次にインジケータを選択します。次の情報が表示されます。
    • インジケータ名とインジケータ タイプの説明
    • アラートへの貢献度
    • 異常値
    • インジケータで検知されたイベントのデータ ソース
      中央パネルの表示は、選択されているインジケータに応じて変化します。

You are here
Table of Contents > 高リスク ユーザの調査 > 高リスク ユーザの調査の開始

Attachments

    Outcomes