調査:座標表示チャートへのメタデータの追加

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

アナリストは、[ナビゲート]ビューで座標表示チャートを使用できます。これにより、異常なイベントの兆候を示し、調査する価値のあるメタ キー、メタ エンティティ、メタ値の組み合わを集中的に調査できるようになります。座標表示チャートは、調査の現在のドリルダウン ポイントをビジュアル化し、3個以上のメタ キーを同時に調査するために使用されます。複数のメタ キーを同時にビジュアル化すると、多変量パターンおよび比較に関連したセキュリティ問題を特定するうえで役立ちます。例えば、個々のメタ キーとメタ値には問題がなくても、それらを組み合わせたときに異常なパターンや関係が明らかになる場合があります。メタ グループ(「メタ グループを使用して関連性の高いメタ キーにフォーカス」を参照)を効果的に使用して、座標表示チャートに追加するメタ キーのコレクションを定義することができます。

効果的な座標表示チャートに関するベスト プラクティス

効果的な座標表示チャートを作成するには、以下の推奨事項を実行します。

  • 新規インストールに含まれているRSA標準提供のメタ グループを使用します。
  • すべてのデータを可視化しようとするのではなく、1つのドリルダウン ポイントから開始します。
  • 必要に応じて時間範囲を制限します。
  • 可能な限り少ない数の有益なメタ キーを軸として表示するよう選択します。
  • メタ値間の異常性が強調されるように、チャート内の直線に沿って軸の順序を指定します。
  • 有益なメタ キーとその順序を特定できる場合は、将来の調査で使用するカスタム メタ グループを作成します。たとえば、Windows実行可能ファイル タイプのカスタム メタ グループを作成できます。
  • カスタム メタ グループを.jsnファイルとしてインポートおよびエクスポートすることによって、グループを再利用したり共有したりします。
  • カスタム メタ グループごとに2つのバージョンを作成しておくと便利です。1つはメタ値の分析に使用し、もう1つは同じユースケースの小規模サブセットに重点を置いた座標表示チャートの作成に使用します。

注: メタ グループをインポートするとき、既存のメタ グループが含まれていると、エラー メッセージが表示されます。重複したグループをインポートするには、まず既存のグループを削除しておかなければなりません。プロファイルによって使用されているメタ グループは削除できません。

NetWitness Platformでは、効果的な座標表示チャートを構築するため、いくつかの最適化が可能です。

  • アナリストは、すべてのメタ キーを含んでいるセッションのみをチャートで表示するよう指定できます。
  • 管理者は、[管理]>[システム]ビュー>[調査]パネル>[ナビゲート]タブの[座標表示の設定]で、表示するメタ値の数を増やすことができます。

座標表示で使用できるRSAメタ グループ

NetWitness Platformには、事前定義されたメタ グループのセットが含まれています。最新のバージョンを取得する場合は、[メタ グループの管理]ダイアログでメタ グループ ファイル(MetaGroups_ootb_w_query.jsn)をインポートできます。座標表示チャートに適した標的型アクティビティとしては、次のようなものがあります。

  • Botnet Beaconing
  • Covert Channels
  • Email Analysis
  • Encrypted Sessions
  • Endpoint Analysis
  • File Analysis
  • Malware Analysis
  • Outbound HTTP
  • Outbound SSL/TLS
  • SQL Injection Attacks
  • Threat Analysis
  • Web Analysis

座標表示チャートの表示

[調査]>[ナビゲート]ビューで、次の手順を実行します。

  1. [値]パネルの上の[チャート]パネルが閉じられている場合は、[チャートの表示]を選択します。
  2. ツールバーで、[メタ]>[メタ グループの使用]>[RSA Malware Analysis]を選択します。
  3. 現在のドリルダウン ポイントのデフォルトのタイムライン チャートが表示されます。
    座標表示チャートの例
  4. チャート]パネルで[オプション]を選択します。
    [チャート オプション]ダイアログが表示されます。
  5. チャートの表示]ドロップダウン リストから[座標表示]を選択して、[適用]をクリックします。
    [チャート オプション]ダイアログ
    チャートがロードされます。この例では、2,962個のイベントが見つかり、39個の一意のパスが可視化されます。
    [ナビゲート]ビューでのデフォルトのチャート

座標表示チャートで使用するメタ キーの選択

座標表示チャートが開いた状態で、次の操作を行います。

  1. [チャート]パネルで[オプション]を選択します。
    [チャート オプション]ダイアログが表示されます。ツールバーのic-info2.pngをクリックすると、見やすいチャートに適した軸数が表示されます。推奨される軸の数は、ブラウザのサイズによって変化します。ブラウザ ウィンドウを拡大すると、推奨される数は増加します。
    [チャート オプション]ダイアログ
  2. メタ キーの順序を変更するには、メタ キーを上下にドラッグして目的の順序に変更します。
  3. メタ キーを削除するには、選択ボックス内をクリックして、icon-remove.pngをクリックします。
    メタ キーが削除されますが、変更は適用されません。
  4. 元の状態に戻すには、icon-revert.pngをクリックします。
    削除したメタ キーがすべてリストアされ、行った変更がすべて削除されます。
  5. メタ キーを個別に選択する場合は、[追加]アイコンをクリックし、[デフォルトのメタ キーから追加]を選択し、ドロップダウン リストからメタ キーを選択します。
    [デフォルトのメタ キーから追加]ドロップダウン リスト
    選択したキーが表示されます。
    [座標表示チャートへのキーの追加]ダイアログに表示される選択されたキー
  6. メタ グループ内のすべてのメタ キーを追加する必要がある場合、メタ キーを個別に追加する必要はありません。[メタ グループから追加]を選択して、ドロップダウン リストからグループを選択します。
    [座標表示チャートへのキーの追加]ダイアログの[メタ グループから追加]ドロップダウン リスト
    選択したメタ グループがフィールドに表示されます。
  7. キーまたはグループの追加方法を、[現在のキーのリストを置き換え]、[現在のキーのリストの後に挿入]、[現在のキーのリストの先頭に挿入]から選択します。
    メタ キーを追加する方法は[現在のキーのリストを置き換え]
  8. 手順を完了するには、[追加]をクリックします。
    [チャート オプション]ダイアログに、選択したメタ キーまたはメタ グループが表示されます。
  9. 新しいチャートを表示するには、[適用]をクリックします。

座標表示チャートの最適化

  1. すべてのメタ キーを含んでいないイベントを削除することによってチャートを最適化するには、[オプション]を選択します。
    チャート オプション
  2. [ビジュアル化オプション]ダイアログで[すべてのメタ キーが1つのイベントに存在する必要があります]を選択します。[適用]をクリックします。
    結果として表示されるチャートは、見やすく便利になり、固有パスの数が減少します。
    少数の点がハイライト表示された座標表示チャート
  3. 少数の点を選択し、左右に伸びるパスをハイライト表示するには、軸をクリックします。カーソルが十字線に切り替わり、ドラッグして軸上の値を選択できるようになります。マウスを離すと、パスがハイライト表示されます。
    [すべてのメタ キーが1つのイベントに存在する必要があります]が有効になった座標表示チャート
  4. ビジュアル化を拡大するには、パネルの下縁を下方向にドラッグし、ブラウザ ウィンドウの右縁をドラッグして広げます。

使用例

次の例では、セッションのファイル メタデータを表すメタ キーを座標表示チャートに表示しています。左から右に、Extensions、Forensic Fingerprint、Filenameという3つのメタ キー(軸)があり、各軸に沿って値が表示されます。Extension軸の値はファイル拡張子を示し、Forensic Fingerprint軸の値はWindows実行可能ファイルのタイプを示します。通常、ファイル拡張子と、想定されるフォレンジック フィンガープリントは一致します。しかし、gifファイル タイプがWindows実行可能ファイル フィンガープリントと組み合わせになることは異常です。gifファイル拡張子は、ファイル タイプ(x86pe)、3番目の軸の2つのファイル名との関連をハイライト表示するために選択されています。これにより、アナリストは調査に役立つファイルをすばやく特定できます。

このビューにアクセスするには、次の手順を実行します。

  1. 値の昇順で並べ替えます。
  2. 2つのフィルタ(file type = 'windows executable'およびextension = 'gif')を[ナビゲート]ビューに適用し、データの量を制限します。
  3. 3つの軸(file extensionforensic fingerprintfilename)を選択して座標表示チャートを構成します。
    3つの軸を含む座標表示チャート

大量データセットのチャートの例

座標表示チャートに大量のデータセットを適用したこの例では、アナリストがチャートの内容を理解するうえで役立ついくつかのメッセージを示しています。

  • チャートを作成するため、メタ値のスキャンがNetWitness Platformによって開始され、結果が返されます。典型的な時間範囲に含まれるメタ値の数は、最大で1,000万個に達する場合があります。返されるメタ値の数がメタ値の結果制限に達すると、メタ値のスキャン制限と等しい数のメタ値がNetWitness Platformによってスキャンされていない場合でも、チャートが表示されます。
  • 座標表示チャートに表示できるデータ量には一定の制限があります。管理者は、[管理]>[システム]ビューの調査の設定で、座標表示の制限値を構成します。

大量データセットの場合、小量データセットとメタ キーの場合と比べて、座標表示チャートの処理に時間がかかります。NetWitness Platformは、パフォーマンスを維持するために、管理者が設定した制限値に達するまで、[値]パネルからのメタ値をチャートに表示します。制限値に達した場合は、「イベントのサブセットのみが表示されます」という情報メッセージが表示されます。

大量データ セットのチャート

2,962個のイベントについてチャートされたすべてのデータのうち、一意の座標表示パスは39個だけです。イベントの中にはすべてのメタ キーを含まないものがあり、そのようなイベントには、メタデータが存在しないことを意味するDNEというラベルが付けられます。

You are here
Table of Contents > イベントの再構築と分析 > 座標表示チャートへのメタデータの追加

Attachments

    Outcomes