調査:[調査]ビュー

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[調査]ビューは、NetWitness Investigateへのプライマリ エントリー ポイントです。[調査]ビューには6つのサブメニューがあり、それぞれ異なる視点からイベントを分析できるビューを開きます。サブメニューには、[ナビゲート]、[レガシー イベント]、[イベント](以前の[イベント分析])、[ホスト]、[ファイル]、[エンティティ](以前の[ユーザ])、[マルウェア分析]があります。

注: [レガシー イベント]ビューは、過去のバージョン(11.0~11.3.x.x)では、[イベント]ビューと呼ばれていました。バージョン11.4以降では、[レガシー イベント]は不要になり、管理者が有効にしない限り、非表示になります。デフォルトでは、[イベント]ビューのみがメニューに表示されますが、[レガシー イベント]ビューが有効になっている場合は、[イベント]ビューと[レガシー イベント]ビューの両方がメニュー バーに表示されます。

ワークフロー

次の図は、[調査]ビューで実行できるタスクの概要を示しています。このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。

[調査]ビューで使用可能なすべての機能を示す概要レベルの図

サブメニュー オプションを使用して、ビュー間を移動できます。

  • [ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビューには相互リンクがあるので、現在の結果をさまざまな視点から確認できます。これにより、ビューを切り替えるときの調査の継続性が保たれます。
  • [ホスト]ビューと[ファイル]ビューでは、NetWitness Endpointが調査に組み込まれています。それぞれ、NetWitness Endpointエージェントがインストールされているすべてのホストと、導入環境で検出された固有の実行可能ファイルが表示されます。
  • [エンティティ]ビュー(以前の[ユーザ]ビュー)では、NetWitness UEBAを使用して、エンタープライズ全体で高リスク ユーザの行動を可視化できます。環境内の高リスク ユーザのリストと、高リスク行動を示す上位アラートのサマリーが表示されます。ユーザまたはアラートを選択すれば、高リスク行動の詳細と、発生のタイムラインを表示できます。
  • [マルウェア分析]ビューでは、他のいずれかのビューで検出されたファイル、またはネットワーク トラフィックの継続的スキャンにより収集されたファイルをスキャンできます。

目的のイベントまたはファイルを見つけたら、より詳細な調査を続行するためのさまざまなアクションを実行できます。たとえば、イベントの再構築と分析、イベントとファイルのエクスポート、内部および外部リソースでのルックアップの実行、インシデントとアラートの作成を行うことができます。

実行したいことは何ですか?

                                                
ユーザ ロール実行したいこと手順
脅威ハンターイベント メタデータを参照する[ナビゲート]ビューまたは[レガシー イベント]ビューでの調査の開始
脅威ハンターRAWイベントを参照する

[イベント]ビューでの調査の開始

[ナビゲート]ビューまたは[レガシー イベント]ビューでの調査の開始

脅威ハンター

RAWイベントとメタデータを分析する

[イベント]ビューでの調査の開始

脅威ハンターエンドポイントを調査する(バージョン11.1以降)NetWitness Endpointユーザ ガイド
脅威ハンター不審なエンドポイント ファイルを探す(バージョン11.1以降)NetWitness Endpointユーザ ガイド
脅威ハンター高リスクなユーザ行動を検索するNetWitness UEBAユーザ ガイド
脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisユーザ ガイド

関連トピック

簡単な説明

[調査]ビューを構成する6つのビューは、それぞれ異なるデータ分析方法を表しています。デフォルトでは、[調査]では[ナビゲート]ビューが開きます。デフォルト ビューは、他のいずれかのビューに変更できます(「NetWitnessの[調査]ビューおよび環境設定の構成」を参照)。各ビューの使用法については、「NetWitness Investigateの仕組み」を参照してください。次の図は、バージョン11.4の[調査]ビューのサブメニューを示しています。2番目の図は、以前のバージョンのメニューを示しています。

注: [ホスト]および[ファイル]サブメニューはバージョン11.1以降で使用できます。[エンティティ](以前の[ユーザ])メニューはバージョン11.2以降で使用できます。表示されるサブメニューは、ユーザのロールと権限によって決まります。

11.4の調査のオプション

[調査]ビューのサブメニュー

You are here
Table of Contents > 調査の参考情報 > [調査]ビュー

Attachments

    Outcomes