on Apr 29, 2019調査の後、リスクの高いユーザに対してアクションを実行し、組織内の悪意のある攻撃者による今後の損害を低減または防止することができます。次のアクションを実行できます。
- アラートがリスクでない場合は、リスクでないと指定する
- 発見したユースケースの行動プロファイルを保存する
- ユーザ アクティビティを追跡したい場合は、ユーザをウォッチリストに追加し、ユーザ プロファイルを追跡する
アラートがリスクでない場合、リスクでないと指定する
アラートがリスクでない場合は、次の手順に従います。
-
NetWitness Platformにログインし、調査>[Users]に移動します。
- 次のいずれかのタブでユーザに対するアクションを実行します。
- [OVERVIEW]タブの[High Risk Users]パネルで、ユーザを選択し、ユーザ名またはユーザ スコアのどちらかをクリックします。
- [USERS]タブで、ユーザを選択し、ユーザ名をクリックします。
[User Profile]ビューが表示されます。
- [OVERVIEW]タブの[High Risk Users]パネルで、ユーザを選択し、ユーザ名またはユーザ スコアのどちらかをクリックします。
- アラートがリスクでない場合は、[Not a Risk]をクリックして、リスクでないことを指定できます。
アラートが[Not a Risk]に指定された場合、ユーザ スコアは自動的に減少します。
行動プロファイルの保存
フォレンジック調査中に選択したアラート タイプとインジケータの組み合わせが、行動プロファイルになります。行動プロファイルを保存すると、今後このユースケースを監視できるようになります。
たとえば、組織が攻撃され、攻撃者がブルート フォースによってユーザ アカウントを侵害した場合は、ブルート フォースのアラート タイプを使用してフィルタを選択できます。このフィルタを、お気に入りとして保存することができます。これにより将来のブルート フォース攻撃を、プロアクティブに監視することができます。監視するためには、お気に入りをクリックして、新しいユーザがこのタイプの攻撃を受けていないかを調査します。
行動プロファイルを保存するには、次の手順に従います。
- NetWitness Platformにログインし、調査>[Users]に移動します。
[OVERVIEW]タブが表示されます。 - [USERS]タブをクリックします。
- [Filters]パネルの[Alert Type]ドロップダウンでアラートを選択し、[Indicators]ドロップダウンでインジケータを選択します。
- [Save to Favorites]をクリックします。
- [Save Filter]ダイアログに、フィルタ名を入力し、[OK]をクリックします。
行動プロファイルが保存され、[Favorites]パネルに表示されます。[Favorites]パネルのプロファイルをクリックすると、ユーザを監視できます。
すべてのユーザをウォッチリストに追加
ユーザの最近のアクティビティを追跡したいが、即座に調査を開始したくない場合は、ユーザをウォッチリストに追加し、時間が経過してから再表示し、リスク スコアが上昇しているかどうかを確認できます。
すべてのユーザをウォッチリストに追加するには、次の手順に従います。
- NetWitness Platformにログインし、[調査]>[Users]に移動します。
[OVERVIEW]タブが表示されます。 - [USERS]タブを選択します。
- フィルタを使用して、特定のカテゴリーのユーザを選択します。
-
[Add All to Watchlist]をクリックします。
ユーザのリストがウォッチリストに追加されます。
ユーザ プロファイル監視
ユーザ プロファイル監視は、潜在的な脅威の監視対象となるユーザのリストです。ユーザ プロファイル監視は、ダッシュボード上ですばやく参照できるように、ユーザをマークします。これは、本質的には不審なユーザを監視するためのブックマークです。
ユーザ プロファイルを監視するには、次の手順に従います。
- NetWitness Platformにログインし、[調査]>[Users]に移動します。次のいずれかを実行します。
- [OVERVIEW]タブの[高リスク ユーザ]パネルで、ユーザを選択し、ユーザ名またはユーザ スコアのどちらかをクリックします。
- [USERS]タブで、ユーザを選択し、ユーザ名をクリックします。
[User Profile]ビューが表示されます。
- [User Profile]ビューの右上隅にある[Watch Profile]をクリックします。
ユーザがウォッチリストに追加されます。
