UEBA：高リスク ユーザの調査の開始

高リスク ユーザを特定した後は、高リスク ユーザの調査を開始できます。

高リスク ユーザを調査するには、次の手順を実行します。

1. NetWitness Platformにログインして、［調査］＞［Users］にアクセスします。次のいずれかを実行します。
   

   1. ［OVERVIEW］タブの［High Risk Users］パネルで、調査するユーザを選択し、ユーザ名またはユーザ スコアのどちらかをクリックします。
   2. ［USERS］タブで、調査するユーザを選択し、ユーザ名をクリックします。
      ［User Profile］ビューが表示されます。
2. ユーザのアラートを調査するには、［User Risk Score］パネルでアラート名をクリックします。次の情報が表示されます。
   • アラート名
   • アラートの期間（毎時または毎日）
   • 重大度レベル アイコン
   • ユーザ スコア値への貢献度（+20など）
   • アラートのデータ ソース（ログオンなど）
     中央のパネルは［Alert Flow］パネルです。このパネルには、アラートの生成に関連するイベントのタイムラインが表示されます。イベントのタイムラインは、アラートが実際のリスクであるかどうかを判断するのに役立ちます。
     
3. ユーザのアラートに関連付けられているインジケータを調査するには、［User Risk Score］パネルでアラートを選択し、次にインジケータを選択します。次の情報が表示されます。
   • インジケータ名とインジケータ タイプの説明
   • アラートへの貢献度
   • 異常値
   • インジケータで検知されたイベントのデータ ソース
     中央パネルの表示は、選択されているインジケータに応じて変化します。