on Nov 2, 2020管理者がContext Hubサービスを構成した後、[ナビゲート]ビュー、[レガシー イベント]ビュー、[イベント]ビュー(バージョン11.2以降)に、メタ値に関するコンテキスト情報を表示できます。Context Hubサービスでは、メタ タイプとメタ キーのデフォルトのマッピングが事前に構成されています。Context Hubのメタ値と調査のメタ キーのマッピングの詳細については、『Context Hub構成ガイド』の「メタ タイプとメタ キーのマッピングの管理」を参照してください。
[コンテキスト ルックアップ]パネルは、[ナビゲート]ビュー、[レガシー イベント]ビュー、[イベント]ビューの右側に表示されます。Context Hubリストに追加されているメタ値は、[ナビゲート]ビューまたは[レガシー イベント]ビューの結果中で灰色でハイライト表示されます。[イベント]ビューでは、下線でマークされます。ハイライト表示されている値を右クリックし、[コンテキスト ルックアップ]を選択すると、表示されるコンテキスト メニューで、選択したメタ値の構成済みのソースの[コンテキスト ルックアップ]パネルにルックアップ結果が表示されます。[コンテキスト ルックアップ]パネル アイコン バーでソースを選択すると、コンテキスト情報を表示できます。
「ナビゲート」ビューまたは「イベント」ビューで開いたときと、[イベント]ビューで開たときとでは、[コンテキスト ルックアップ]パネルの外観と内容にいくつかの違いがあります。
ワークフロー
このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。
![[コンテキスト ルックアップ]パネルで実行されたタスクがハイライト表示されているワークフロー](https://community.rsa.com/servlet/JiveServlet/showImage/102-114708-1-648270/InvNetWkFl113-CtxLkUpPnl.png)
実行したいことは何ですか?
| ユーザ ロール | 実行したいこと | 手順 |
|---|---|---|
| インシデント対応者 | 重要なインシデントまたはアラートの確認 | 『NetWitness Respondユーザ ガイド』 |
| 脅威ハンター | サービス、メタデータ、時間範囲のクエリを実行 | |
| 脅威ハンター | メタデータの表示 | |
| 脅威ハンター | RAWイベント データの表示 | |
| 脅威ハンター | イベントの再構築 | |
| 脅威ハンター | ファイルの検証 | |
| 脅威ハンター | ルックアップの実行* | |
| 脅威ハンター | インシデントの作成またはインシデントへの追加* | |
| 脅威ハンター | Context Hubリストへのメタ値の追加 |
*このタスクは現在のビューで実行できます。
関連トピック
- NetWitness Investigateの仕組み
- [レガシー イベント]ビュー
- [ナビゲート]ビュー
- [イベント]ビュー
- 「Liveサービス管理ガイド」の「NetWitnessのフィードバックとデータ共有」
([ナビゲート]ビューおよび[レガシー イベント]ビューでの)簡単な説明
次の図は、[ナビゲート]ビューと[レガシー イベント]ビューに表示される[コンテキスト ルックアップ]パネルの例です。コントロールと機能については、表で説明します。
![[コンテキスト ルックアップ]パネルが開いている[ナビゲート]ビュー](https://community.rsa.com/servlet/JiveServlet/showImage/102-114708-1-648257/NavCXLU111.png)
| 機能 | 説明 |
|---|---|
| ソース オプション バー | 使用可能なソース(エンドポイント、インシデント、アラート、リスト)のアイコンが表示されます。 |
| ソース名 | 選択したアイコンに基づいてソース名が表示されます。
|
| ソート | 表示されたコンテキスト情報をソートするオプションをドロップダウンで選択できます。ソート オプションには[重大度 - 高い順]、[重大度 - 低い順]、[日付 - 古い順]、[日付 - 新しい順]があり、ソースのタイプによって異なります。 |
 | ルックアップ結果を更新します。 |
| <n件のアイテム>(最初の<n>件の結果) | フッターに現在表示されている結果の件数と結果の総数が表示されます。たとえば、[5件のアラート(最初の50件の結果)]のように表示されます。 |
インシデント
インシデントは時間順(新しい順)に表示され、さらに優先度のステータスでソートされます。インシデントのルックアップでは、次の情報が表示されます。
- インシデントの名前とID
- インシデントの優先度のステータス
- インシデントのリスク スコアの値
- インシデントが作成された日付
- インシデントのステータス
- インシデントの割り当て先
- 最終更新日コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
- タイム ウィンドウ: これは[Respondの構成]ウィンドウの[クエリの対象期間(日数)]フィールドに設定された値に基づいています。詳細については、『Context Hub構成ガイド』の「データ ソースとしてのRespondの構成」を参照してください。
- ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。
アラート
アラートが重大度に基づいて表示されます。アラートのルックアップでは、次の情報が表示されます。
- アラート名
- アラートの重大度の値
- アラートが作成された日付
- インシデントID:アラートが関連づけられているインシデントのIDです(該当する場合)。
- ソース:イベント ソース名
- アラートに関連するイベントの数。
- 更新日: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
- タイム ウィンドウ: これは[Respondの構成]ウィンドウの[クエリの対象期間(日数)]フィールドに設定された値に基づいています。詳細については、『Context Hub構成ガイド』の「データ ソースとしてのRespondの構成」を参照してください。
- ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。
リスト
リストのルックアップでは、次の情報が表示されます。
- リスト名
- リストを作成したオーナー
- 作成日
- 最終更新日
- リストの説明
エンドポイント
エンドポイントのルックアップでは、次の情報が表示されます。
- マシン名とマシンのIPアドレス。
IPまたはエンドポイント マシン名をクリックすると、エンドポイントUIに移動してさらに詳しい調査を実行できます。 - 更新日: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
- マシン スコア:モジュールのスコアに基づいてマシンのIIOCスコアが集計されます。
- モジュール数:選択したマシンのアクティブなファイルの数。
- 最終更新日:エンドポイント データベースでスキャン結果が最後に更新された時刻を示します。
- 最後にログインしたユーザ
- マシンのMACアドレス
- オペレーティング システムのバージョン
- 管理メモ(該当する場合)
- 管理ステータス(該当する場合)
- 最も疑わしいモジュール(IIOCスコアが500を超えるモジュール)。これは[エンドポイントの構成]ウィンドウの[最小IIOCスコア]フィールドに設定された値に基づいています。[最小IIOCスコア]のデフォルト値は500です。
- マシンIIOCレベル
[イベント]ビューの簡単な説明(バージョン11.2以降)
次の図は、[イベント]ビューに表示される[コンテキスト ルックアップ]パネルの例です。
![「イベント分析」ビューの[コンテキスト ルックアップ]パネル](https://community.rsa.com/servlet/JiveServlet/showImage/102-114708-1-647984/CtxLkUpEvAn112.png)
[コンテキスト ルックアップ]パネルに表示されるコンテキスト情報やクエリの結果は、選択したエンティティと関連するデータ ソースに依存します。[コンテキスト ルックアップ]パネルには、データ ソースごとに個別のタブがあります。タブには、[データ ソースのリスト]、[Archer]、[Active Directory]、[エンドポイント]、[インシデント]、[アラート]、[Live Connect]があります。次の図は、[インシデントの詳細]ビューで選択したエンティティの[コンテキスト ルックアップ]パネルを示しています。
次の表は、各タブおよびサポートされるエンティティで使用可能なデータを示しています。
| タブ | 説明 | サポートされるエンティティ |
|---|---|---|
| | 選択したエンティティまたはメタ値に関連付けられているすべてのリストのデータを表示します。リストの最終更新日時によってソートされます。 | すべてのエンティティ |
| (Archer) | Archerデータ ソースから、重要度評価と資産情報を表示します。 | IP、ホスト、MAC |
| | 選択したユーザのすべてのユーザ情報を表示します。 | ユーザ |
| | マシン、モジュール、IIOCレベルを含む選択したエンティティまたはメタ値のNetWitness Endpointデータ ソースの情報を表示します。モジュールは最大IOCスコアから最小IIOCスコアの順にソートされ、IIOCレベルは最高IOCレベルから最低IOCレベルの順にソートされます。 | IP、MACアドレス、ホスト |
| (インシデント) | 選択したエンティティまたはメタ値に関連付けられているインシデントのリストを表示します。最新のインシデントから最も古いインシデントの順にソートされます。 | すべてのエンティティ |
| (アラート) | 選択したエンティティまたはメタ値に関連付けられているアラートのリストを表示します。最新のアラートから最も古いアラートの順にソートされます。 | すべてのエンティティ |
| (Live Connect) | Live Connectから関連する情報を表示します。 | IP、ドメイン、Filehash |
| (ファイル レピュテーション) | Filehashエンティティのファイル レピュテーションのステータスを表示します。 | Filehashエンティティ |
[リスト]タブ
[コンテキスト ルックアップ]パネルの[リスト]タブには、選択したエンティティまたはメタ値に関連する1つ以上のリストが表示されます。次の図は、[コンテキスト ルックアップ]パネルの[リスト]タブの例です。表にはフィールドの説明が記載されています。
| フィールド | 説明 |
|---|---|
| 名前 | リストの名前(リストの作成時に定義)。 |
| 説明 | リストの説明(リストの作成時に定義)。 |
| 作成者 | リストを作成したオーナー。 |
| 作成日時 | リストが作成された日付。 |
| 更新日 | リストが最後に更新または変更された日付。 |
| 件数 | 選択したエンティティまたはメタ値が使用可能なリストの数。 |
| タイム ウィンドウ | [レスポンスの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づくタイム ウィンドウ。デフォルトでは、[リスト]のすべてのデータがフェッチされます。 |
| 最終更新日 | Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。 |
[Archer]タブ
[コンテキスト ルックアップ]パネルの[Archer]タブには、IP、ホスト、およびMACのエンティティについて、Archerデータ ソースから取得した重要度評価と資産情報が表示されます。次の図は、[コンテキスト ルックアップ]パネルの[Archer]タブの例です。表には各フィールドの説明が記載されています。
| フィールド | 説明 |
|---|---|
| 重要度評価 | デバイスがサポートするアプリケーションに基づいて算出されたデバイスの業務上の重要度。重要度評価は、未評価、低、中-低、中、中-高、高のいずれかに設定できます。 |
| リスク評価 | 最新のアセスメント結果と、このデバイスを使用する施設の平均リスク評価から、デバイスのリスク評価を計算します。リスク評価は、重大、高、中、低、軽微のいずれかに設定できます。 |
| デバイス名 | デバイスの固有の名前。 |
| host Name | デバイスのホスト名。 |
| IPアドレス | デバイスのプライマリ内部IPアドレス。 |
| デバイスID | システム内のすべてのアプリケーションにおいてデバイス レコードを一意に識別する、自動的に設定された値。 |
| タイプ | サーバ、ラップトップ、デスクトップなどのデバイスの種類。 |
| 施設(Facilities) | このデバイスに関連する施設アプリケーション内のレコードへのリンク。 |
| ビジネス ユニット(Business Unit) | このデバイスに関連するビジネス ユニット アプリケーション内のレコードへのリンク。3を越えるビジネスユニットの値については、フィールドにカーソルを合わせると表示されます。 |
| デバイス管理責任者 | デバイスを担当し、レコードの読み取りおよび更新権限を持つデバイスの管理責任者。 |
| 件数 | 使用可能な資産の数。 |
| タイム ウィンドウ | [レスポンスの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、Archerのすべてのデータをフェッチします。 |
| 最終更新日 | Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。 |
注: ローカライズ版で表示されるのは、重要度評価、リスク評価、デバイス管理責任者、ビジネス ユニット、ホスト名、MACアドレス、施設、IPアドレス、タイプ、デバイスID、デバイス名、ビジネス プロセスの12個のフィールドのみです。
[Active Directory]タブ
次の図は、Active Directoryの[コンテキスト ルックアップ]パネルの例です。
Active Directoryの[コンテキスト ルックアップ]パネルには、ユーザのすべての関連情報、インシデント、アラートが表示されます。次の形式を使用して検索を実行できます。
- userPrincipalName
- Domain\UserName
- sAMAccountName
Active Directoryについて次の情報が表示されます。
| フィールド | 説明 |
|---|---|
| 表示名 | ユーザの名前。 |
| 従業員ID | ユーザの従業員ID。 |
| 電話 | ユーザの電話番号。 |
| メール | ユーザのメールID。 |
| ADユーザID | 組織内の特定ユーザの固有ID。 |
| 役職 | ユーザの役職。 |
| マネージャー | ユーザのマネージャの名前。 |
| グループ | ユーザが所属するグループのリスト。 |
| 会社(Company) | ユーザの会社の名前。 |
| 部門 | ユーザが所属する組織内の部門名。 |
| 場所 | ユーザの場所。 |
| 最終ログオン | ユーザがシステムにログインした時刻(グローバル カタログが定義されている場合のみ)。 |
| 最終ログオンのタイム スタンプ | ユーザがシステムにログインした時刻。 |
| 識別名 | ユーザに割り当てられている固有の名前。 |
| 件数 | ユーザの数。 |
| タイム ウィンドウ | [データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づくタイム ウィンドウ。デフォルトでは、Active Directoryのすべてのデータをフェッチします。 |
| 最終更新日 | Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。 |
[NetWitness Endpoint]タブ
次の図は、[コンテキスト ルックアップ]パネルの[NetWitness Endpoint]タブの例です。
IIOCについて次の情報が表示されます。
| フィールド | 説明 |
|---|---|
| モジュール数 | 検索されたモジュール数。 |
| 管理ステータス | 管理ステータス(該当する場合)。 |
| 最終更新日 | データが最後に更新された時刻。 |
| 最終ログイン | ユーザが最後にログインした時間。 |
| MACアドレス | マシンのMACアドレス。 |
| オペレーティング システム | NetWitness Endpointマシンで使用されるオペレーティング システムのバージョン。 |
| マシン ステータス | 表示されているモジュールの状態(オンライン、オフライン、アクティブ、非アクティブ)。 |
| IPアドレス | 特定のモジュールのIPアドレス。 |
モジュールについて次の情報が表示されます。
| フィールド | 説明 |
|---|---|
| IIOCスコア | マシンIIOCスコアは、モジュールのスコアに基づいて集計されたスコアです。これは[Context Hubデータ ソース設定]ダイアログの[最小IIOCスコア]フィールドに設定された値に基づいています。[最小IIOCスコア]のデフォルト値は500です。「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」を参照してください。 |
| モジュール名 | 検索されたモジュールの名前。 |
| 解析スコア | 選択したマシンのアクティブなファイルの数。 |
| マシン数 | 特定のIOCがトリガーしたマシンの数。 |
| 署名 | ファイルが署名されているかどうかと、有効か無効かを示し、署名情報を提供します。たとえば、Google、Appleなど。 |
マシンについて次の情報が表示されます。
| フィールド | 説明 |
|---|---|
| IOCレベル | IOCレベル。 |
| 説明 | IOCレベルの説明(使用可能な場合)。 |
| 前回の実行 | アクションが実行された時刻。 |
| 件数 | 検索されているホスト数。 |
| タイム ウィンドウ | [データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、NetWitness Endpointのすべてのデータがフェッチされます。 |
| 最終更新日 | NetWitness Endpointデータベースでスキャン結果が最後に更新された時刻。 |
[アラート]タブ
次の図は、最初に時間(新しい順)、次に重大度に基づいて表示された[アラート]の[コンテキスト]パネルの例です。
[コンテキスト ルックアップ]パネルの[アラート]タブには以下の情報が表示されます。
| フィールド | 説明 |
|---|---|
| 作成日時 | アラートが作成された日時。 |
| 重大度 | アラートの重大度の値 |
| 名前 | アラートの名前。名前をクリックすると特定のアラートの詳細が表示されます。 |
| ソース | アラートをトリガーしたアラート ソースの名前。 |
| イベント数 | アラートに関連するイベントの数。 |
| インシデントID | アラートが関連づけられているインシデントのID(該当する場合)。IDをクリックすると特定のアラートの詳細が表示されます。 |
| 件数 | アラート数デフォルトでは、最初の100件のアラートのみが表示されます。設定の構成方法の詳細については、『Context Hub構成ガイド』の「Context Hubのデータ ソース設定の構成」を参照してください。 |
| タイム ウィンドウ | [データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、過去7日間のアラート データをフェッチします。 |
| 最終更新日 | データ ソースからコンテキスト データを最後に取得した時刻。 |
[インシデント]タブ
次の図は、最初に時間(新しい順)次に優先度のステータスに基づいた[コンテキスト ルックアップ]パネルの[インシデント]タブの例です。
[コンテキスト ルックアップ]パネルの[インシデント]タブには以下の情報が表示されます。
| フィールド | 説明 |
|---|---|
| 作成日時 | インシデントが作成された日付。 |
| 優先 | インシデントの優先度のステータス。 |
| リスク スコア | インシデントのリスク スコア。 |
| ID | インシデントのインシデントID。IDをクリックするとインシデントの詳細が表示されます。 |
| 名前 | インシデントの名前。 |
| ステータス | インシデントのステータス。 |
| 割り当て先 | インシデントの現在のオーナー。 |
| アラート | インシデントに関連するアラートの数。 |
| 件数 | インシデントの数。デフォルトでは、最初の100件のインシデントのみが表示されます。設定の構成方法の詳細については、『Context Hub構成ガイド』の「Context Hubのデータ ソース設定の構成」を参照してください。 |
| タイム ウィンドウ | [データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、過去7日間のアラート データをフェッチします。 |
| 最終更新日 | データ ソースからコンテキスト データを最後に取得した時刻。 |
[Live Connect]タブ
次の図は、[コンテキスト]パネルの[Live Connect]タブの例であり、表では表示される以下の情報について説明しています。
| フィールド | 説明 |
|---|---|
| レビュー ステータス | 選択したLive Connectエンティティ(IP、ファイル、ドメイン)をアナリストがレビューしたステータス。これにより、組織内で、アナリストのアクティビティの可視性が高まります。 ステータス
|
| リスク アセスメント | Live Connectの分析とアナリスト フィードバックに基づく、選択したLive Connectエンティティ(IP、ファイル、ドメイン)のリスク評価を表示します。リスク評価のカテゴリは次のとおりです。
|
| リスク評価のフィードバック |
リスク評価のフィードバックにより、アナリストはエンティティに関する脅威インテリジェンスのフィードバックをLive Connectサーバに送信できます。
|
| コミュニティ アクティビティ | 次のようなコミュニティ アクティビティ:
コミュニティ アクティビティのトレンドが表示されます。 RSAコミュニティの中で、IPアドレスが分かっている場合は、次のコミュニティ アクティビティのトレンドのグラフィカル表示が表示されます。
|
| リスク インジケータ |
リスク インジケータは、コミュニティによってエンティティ(IPアドレス、ファイル、ドメイン)に割り当てられたタグに基づいてハイライト表示されます。 タグのカテゴリーは、スキャン、デリバリー、コマンド&コントロール、ラテラル ムーブメント、特権エスカレーション、パッケージ&漏洩です。 これらのタグはサンプルであり、Live Connectサーバがコミュニティから受信した入力によって異なります。アナリストは、レビューのフィードバックを提供する時に、適切なリスク指標タグを選択できます。ハイライト表示されたタグは、選択したエンティティがその特定のカテゴリとタグに関連づけられていることを示します。ハイライト表示されているタグをクリックすると、タグの説明が表示されます。 |
| ID | 選択したエンティティまたはメタ値の次の識別情報を提供します。 IPアドレスの場合:ASN(自律システム番号)、プレフィックス、国コードと国名、登録者(組織)、日付。 ファイル ハッシュの場合:ファイル名、ファイル サイズ、MD5、SH1、SH256、コンパイル時刻、Mimeタイプ。 ドメインの場合:ドメイン名と関連IPアドレス。 |
| 証明書情報 | 選択したファイル ハッシュに関する証明書情報(証明書発行元、証明書の有効性、署名アルゴリズム、証明書シリアル番号)を提供します。 |
| WHO IS情報 |
WHO IS情報は、特定のドメインの所有権の詳細を提供します。 ドメイン所有者に関する情報(作成日、更新日、期限切れの日付、タイプ(登録タイプ)、名前、組織、郵便番号と住所、国、電話、ファックス、メール)が表示されます。 |
| 関連ファイル | 関連ファイルはエンティティ タイプがIPおよびドメインの場合に表示されます。既知の関連ファイルのリストが、Live Connectのリスク評価(安全、高リスク、不明)、ファイル名、MD5、コンパイル時刻と日付、API関数、インポート ハッシュ、Mimeタイプとともに表示されます。 |
| 関連ドメイン | 関連ドメインはエンティティ タイプがIPおよびファイルの場合に表示されます。既知の関連ドメインのリストが、Live Connectのリスク評価(安全、高リスク、不明)、ドメイン名、国名、登録日、期限切れの日付、登録者のメール アドレスとともに表示されます。 |
| 関連IP |
関連IPはエンティティ タイプがドメインおよびファイルの場合に表示されます。既知の関連IPのリストが、Live Connectのリスク評価(安全、高リスク、不明)、IPアドレス、ドメイン名、国コードと国名、国名、登録日、期限切れの日付、登録者のメール アドレスとともに表示されます。 |
[ファイル レピュテーション]タブ
[ファイル レピュテーション] の [コンテキスト ルックアップ] パネルには、そのファイルのレピュテーションのステータスが表示されます。
| フィールド | 説明 |
|---|---|
| レピュテーション ステータス | filehashのレピュテーション ステータス。レピュテーションのステータスの詳細については、『UEBAユーザ ガイド』の「ファイル レピュテーションの表示」を参照してください。 |
| スキャナー一致 | 最後のスキャンで、マルウェアまたは疑わしいアクティビティを検出したスキャナーの数。 |
| 分類プラットフォーム | プラットフォームに基づき、クエリされたfilehashのクラス分け。たとえば、プラットフォームをWin 32にすることができます。 |
| 分類タイプ | タイプに基づき、クエリされたfilehashのクラス分け。 |
| 分類ファミリー | マルウェア ファミリー名に基づき、クエリされたfilehashのクラス分け。 |
