NetWitness Investigateとは

Document created by RSA Information Design and Development on Jun 28, 2019Last modified by Susan Ewald on Jul 23, 2019
Version 2Show Document
  • View in full screen mode

NetWitness® Investigateとは?

NetWitness Platformは、ネットワーク上のすべてのトラフィックを調査および監視します。NetWitness Platformのサービスの1つであるDecoderは、ネットワーク内のパケット、ログ、エンドポイント データを収集、解析、保存します。Decoderに構成されたパーサとフィードは、収集したログおよびパケットをアナリストが調査できるよう、メタデータを作成します。別のタイプのサービスであるConcentratorは、メタデータのインデックスを作成し、保存します。NetWitness Investigateは、RSA NetWitness® Platformのデータ分析機能を提供します。アナリストはこの機能を使用して、パケット、ログ、エンドポイント データを分析し、セキュリティとITインフラストラクチャに対する内部または外部からの潜在的な脅威を特定することができます。

本書について

このガイドでは、SOCチームのすべてのメンバを対象に、NetWitness Investigateを構成し、ログおよびネットワーク イベントを調査するためのエンドツーエンドのガイドラインを提供します。NetWitness Investigateを使用してエンドポイントおよびユーザの行動を調査するためのエンドツーエンドのガイドラインについては、次のドキュメントを参照してください。

RSA Link上のRSA NetWitness Platform 11.3のドキュメント

NetWitness Platformの製品ドキュメントは、機能ラインに沿って編成されています。特定のガイドまたはバージョンをお探しの場合は、「バージョン11.x マスター目次」を参照してください。

RSA NetWitness Platform 11.3のドキュメントは次のリンクからアクセスできます。同じドキュメントが2つの形式で提供されます。

ソフトウェアのバージョンに関係ないドキュメントは次のリンクからアクセスできます。

はじめに

次のタスクは、任意の順序で実行できます。SOCチーム全体が対象のタスクです。

説明参考情報

SOC Manager Incident Responder Threat Hunter System Administrator Content Expert (Threat Intelligence)

製品の更新、改善、既知の問題に関する情報を確認する

RSA NetWitness Platform 11.3リリース ノート

NetWitness Investigateの仕組みを理解する

NetWitness Investigateユーザ ガイド』の「NetWitness Investigateの仕組み」

セットアップ、インストール、またはアップグレード

NetWitness Investigateには、特別なセットアップ、インストール、またはアップグレード タスクは必要ありません。 NetWitness Platformの一部に組み込まれています。ただし、次のタイプの分析を行う場合は、NetWitness Investigateと連携するコンポーネントをセットアップする必要があります。これらのタスクは管理者が行います。SOCマネージャがセットアップについて理解したい場合は参照してください。

説明参考情報

SOC Manager System Administrator

Malware Analysisのインストールとセットアップ(スタンドアロンまたはサービス)

Malware Analysis構成ガイド

NetWitness Endpointのインストールとセットアップ(スタンドアロンまたはサービス)

NetWitness Endpointクイック スタート ガイド

NetWitness UEBAのインストールとセットアップ(スタンドアロンまたはサービス)

NetWitness UEBAクイック スタート ガイド

システムレベルの構成

管理者は、NetWitness Investigateのシステムレベルの環境設定を行います。次のタスクは、管理者が実行します。タスクは任意の順序で実行できます。SOCマネージャは、選択可能な構成オプションを理解する必要があります。

説明参考情報

SOC Manager System Administrator     

NetWitness Investigateを使用するアナリスト用に、RBAC(ロールベースのアクセス制御)を構成します。NetWitness Investigateに関連する権限を持つコンポーネントは次のとおりです:調査([ナビゲート]ビューおよび[イベント]ビュー)、Investigate-server([イベント分析]ビュー)、マルウェア([Malware Analysis]ビュー)、Endpoint-broker-server、Endpoint-server

システム セキュリティとユーザ管理ガイド 』の「ロールの権限」

ユーザのロールによってアクセス可能なコンテンツを制限するようNetWitness Investigateを構成します(プレクエリ)。

システム セキュリティとユーザ管理ガイド 』の「ロールごとのクエリおよびセッションの属性の検証」

システム レベルでNetWitness Investigateのデフォルト設定と制限を構成します。

システム構成ガイド』の「調査の設定の構成」

ユーザ環境設定の構成

次のタスクは、脅威ハンター、コンテンツ エキスパート、インシデント対応者、SOCマネージャを対象としています。タスクは任意の順序で実行できます。

説明参考情報

SOC Manager Incident Responder Threat Hunter Content Expert (Threat Intelligence)     

[ナビゲート]ビューおよび[イベント]ビューの環境設定を構成します。

NetWitness Investigateユーザ ガイド』の「[ナビゲート]ビューおよび[イベント]ビューの構成」

[イベント分析]ビューの環境設定を構成します。

NetWitness Investigateユーザ ガイド』の「[イベント分析]ビューの構成」

[Malware Analysis]ビューの環境設定を構成します。

Malware Analysisユーザ ガイド』の「Malware Analysisの構成」

調査

アナリストのスキル レベルと目的により、異なるタイプの調査を行うことができます。

  • インシデント対応者(T1アナリスト)は、インシデントへの対応と改善のため、通常、NetWitness RespondからNetWitness Investigateに移行して、インシデントに関する詳細な情報を検索します。
  • 脅威ハンター(T2/T3アナリスト)は通常、イベント、メタデータ、およびRAWコンテンツを詳細に調査することにより、改善が必要な問題を特定し、改善します。
  • コンテンツ エキスパート(脅威インテリジェンス)は通常、イベント、メタデータ、RAWコンテンツ、ユーザ データ、ホスト データ、UEBAデータを詳細に調査することにより、新しい脅威インテリジェンスを調査したり、新しいフィードを評価および作成したり、セキュリティ侵害インジケータを警告する相関ルールを作成します。
  • SOCマネージャは、ユース ケースを理解する必要があります。
説明参考情報

SOC Manager Incident Responder Threat Hunter Content Expert (Threat Intelligence)     

実践的なユース ケースを学習する

NetWitness Investigateユーザ ガイド』の「NetWitness Investigateの使用例」

ログとネットワークトラフィックのメタデータおよびRAWイベントを調査する

NetWitness Investigateユーザ ガイド』の「調査の開始」

潜在的なマルウェアを調査する

Malware Analysisユーザ ガイド

エンドポイントを調査する

NetWitness Endpointユーザ ガイド

ユーザの行動分析を行う

NetWitness UEBAユーザ ガイド

メンテナンス

管理者は次のタスクを任意の順序で実行できます。

説明参考情報

System Administrator Content Expert (Threat Intelligence)    

クエリのリストを管理し、NetWitness Platformシステムの様々なユーザのクエリ パターンを分析します。

システム メンテナンス ガイド』の「URL統合を使用したクエリのメンテナンス」

システムレベルの構成を微調整して、パフォーマンスを向上させたり、データへのアクセスを制限します。

システム セキュリティとユーザ管理ガイド 』の「ロールごとのクエリおよびセッションの属性の検証」

システム構成ガイド』の「調査の設定の構成」

 

You are here

Table of Contents > NetWitness Investigateとは

Attachments

    Outcomes