on Nov 2, 2020[リストへの追加/削除]ダイアログを使用すると、既存のContext Hubリストに対してエンティティもしくはメタ値を追加し、エンティティもしくはメタ値を削除し、またはエンティティもしくはメタ値を含む新しいContext Hubリストを作成できます。疑わしいIPアドレスや注意が必要なIPアドレスやその他のエンティティを見つけたときは、データ ソースとして追加されているリストにそのIPアドレスを追加できます。一般的に使用されるリストには、ホワイト リストやブラック リストがあります。これにより、疑わしいIPアドレスの可視性が向上し、誤検知が減るため、余計な調査の必要がなくなります。
複数のリストにエンティティまたはメタ値を追加できます。たとえば、コマンド&コントロール接続に関連する問題のあるドメインのリストに追加し、別のリモート アクセスに関連するトロイの木馬接続のIPアドレスのリストにも追加することができます。リストがない場合は、リストを作成できます。
このダイアログは、NetWitness InvestigateおよびNetWitness Respondで使用できます。Investigateで作業しているときに、[ナビゲート]ビュー、[レガシー イベント]ビュー、または[イベント]ビューで、Source IP、Destination IP、またはUsernameメタ キーのメタ値を既存のContext Hubリストに追加したり、メタ値を含む新しいリストを作成したりできます。リストにメタ値を追加すると、それらのメタ値に関する追加のコンテキストを検索することができます。
- [ナビゲート]ビューや[レガシー イベント]ビューでダイアログを表示するには、Source IP、Destination IP、またはUsernameのメタ値を右クリックし、コンテキスト メニューで[リストへの追加/削除]を選択します。
- [イベント]ビューでダイアログを表示するには、値にカーソルを合わせ、コンテキスト ツールチップのアクション セクションで[リストへの追加/削除]を選択します。
ワークフロー
次のワークフロー図は、「リストへの追加」タスクがハイライト表示された調査のワークフローを示しています。このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。
実行したいことは何ですか?
| ユーザ ロール | 実行したいこと | 手順 |
|---|---|---|
| インシデント対応者 | 重要なインシデントまたはアラートの確認 | 『NetWitness Respondユーザ ガイド』 |
| 脅威ハンター | サービス、メタデータ、時間範囲のクエリを実行 | |
| 脅威ハンター | メタデータの表示 | |
| 脅威ハンター | RAWイベント データの表示 | |
| 脅威ハンター | イベントの再構築 | |
| 脅威ハンター | ファイルの検証 | |
| 脅威ハンター | ルックアップの実行 | |
| 脅威ハンター | インシデントの作成またはインシデントへの追加 | |
| 脅威ハンター | Context Hubリストへのメタ値の追加* |
*このタスクは現在のビューで実行できます。
関連トピック
[イベント]ビューの簡単な説明
[イベント]ビューの[リストへの追加/削除]ダイアログの例を次に示します。
![簡単な説明 - [リストへの追加/削除]ダイアログ](https://community.rsa.com/servlet/JiveServlet/showImage/102-114710-1-647888/Add2LstDg112QL.png)
| 1 | 追加または削除するエンティティまたはメタ値。 |
| 2 | 選択したメタを使用して新しいリストを作成します。 |
| 3 | [すべて]、[選択済み]、[未選択]のいずれかのタブを選択します。 |
| 4 | リストの名前または説明を使用して検索します。 |
| 5 | アクションをキャンセルします。 |
| 6 | 保存してリストを更新するか、新しいリストを作成します。 |
次の表に、[リストへの追加/削除]ダイアログのオプションを示します。
| オプション | 説明 |
|---|---|
| メタ値 | 1つまたは複数のリストに追加、またはリストから削除する必要がある選択したエンティティまたはメタ値が表示されます。選択した値を使用して新しいリストを作成することもできます。 |
| 新しいリストの作成 | 選択されたメタ値を使用して新しいリストを作成するダイアログが表示されます。 |
| ALL | 使用できるContext Hubリストがすべて表示されます。選択したエンティティまたはメタ値を追加するリストを選択できます。リストにエンティティまたはメタ値を追加するには、チェックボックスを選択します。リストから削除するには、チェックボックスをオフにします。 |
| 選択済み | 選択したエンティティまたはメタ値を含むリストのみが表示されます。(すべてのリストが選択されます。) |
| 未選択 | 選択したエンティティまたはメタ値を含まないリストのみが表示されます。(すべてのリストが選択解除されます。) |
| 結果のフィルタ処理 | 複数のリストから検索するため、特定のリストの名前または説明を入力します。 |
| LIST | すべてのリストの名前を表示します。 |
| 説明 | 選択したリストに関する情報を表示します。「リストの作成時に指定した説明がこのダイアログに表示されます。」たとえば、「このリストには、ブラックリストのIPアドレスがすべて含まれます」などです。 |
| キャンセル | 操作をキャンセルします。 |
| 保存 | 変更を保存します。 |
[ナビゲート]ビューおよび[レガシー イベント]ビューの簡単な説明
次の図は、最初に開いたときの[リストへの追加/削除]ダイアログの例です。
![これは[リストへの追加/削除]ダイアログです。](https://community.rsa.com/servlet/JiveServlet/showImage/102-114710-1-647938/AddRemList.PNG)
次の図に[新しいリストの作成]を選択したときのダイアログを示します。
![ダイアログは[新しいリストの作成]をクリックした後でこのように表示されます。](https://community.rsa.com/servlet/JiveServlet/showImage/102-114710-1-647916/CreateNwList.PNG)
次の表で、[リストへの追加/削除]および[新しいリストの作成]の機能について説明します。
| 機能 | 説明 |
|---|---|
| メタ値 | 既存のリストまたは新しいリストに追加される選択したメタ値。 |
| リスト | 選択したメタ値を追加するリスト。ドロップダウン メニューには、メタ値を追加できるリストが示されます。 |
| 新しいリストの作成 | 選択したメタ値を追加する新しいリストを作成するダイアログが開きます。 |
| リスト名 | 新しいリストの名前。 |
| 説明 | 新しいリストの説明。 |
| 作成 | 必須入力フィールドを入力した後に新しいリストを作成します。 |
| 戻る | 新しいリストの作成をキャンセルし、元のダイアログに戻ります。 |
| キャンセル | リストへのメタ値の追加をキャンセルし、ダイアログ ボックスを閉じます。 |
| 保存 | リストに加えた変更を保存し、ダイアログを閉じます。 |
