調査:メタ キーのルックアップの起動

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[ナビゲート]ビュー、[イベント]ビュー、または[レガシー イベント]ビューで興味のあるデータが見つかったら、NetWitness EndpointやRSA Liveへの内部ルックアップを実行したり、SANS IP HistoryやThreatExpert検索などのコミュニティ リソースでメタ値の外部ルックアップを実行することができます。

アナリストは、外部ルックアップを使用して、調査の時間を短縮できます。外部ルックアップを使用するには、次のいずれかのメタ キーを右クリックします。IPアドレス(ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)host (alias-host, domain.dst)、およびclient,

ipおよびhostの各メタ キーについては、NetWitness Platformに次の検索機能が組み込まれています。

  • Google Malware:Google Malware検索を新しいタブで開きます。
  • SANS IP History:SANS IP History検索を新しいタブで開きます。
  • McAfee SiteAdvisor:McAfee SiteAdvisor検索を新しいタブで開きます。
  • Endpoint Thick Client Lookup:NetWitness Endpoint Thick Client検索を新しいタブで開きます。
  • BFK Passive DNS Collection:BFK Passive DNS Collection検索を新しいタブで開きます。
  • CentralOps Whois(IPおよびホスト名検索):CentralOps Whois(IPおよびホスト名検索を新しいタブで開きます。
  • Malwaredomainlist.com検索:Malwaredomainlist.com検索を新しいタブで開きます。
  • Robtex IP検索:Robtex IP検索を新しいタブで開きます。
  • ThreatExpert検索:ThreatExpert検索を新しいタブで開きます。
  • IPVoid検索:UrlVoid検索を新しいタブで開きます。

file-hashおよびalias-hostの各メタ キーで外部ルックアップからGoogleを選択すると、Google検索が新しいタブで開きます。

clientメタ キーでは、ブラウザと同じマシンにEndpoint Thick Clientがインストールされている場合、NetWitness Endpointルックアップ オプションによってEndpoint Thick Clientが新しいタブで開きます。

管理者は、外部ルックアップやその他のカスタム アクションを追加できます(「システム構成ガイド」の「コンテキスト メニューのカスタム アクションの追加」を参照してください)。

[イベント]ビューでのEndpoint Thick Clientルックアップの起動

[テキスト]パネルでエンドポイント イベントを表示しているときに、同じイベントを分析するためにNetWitness Endpointに移行できます。

注: バージョン4.4.0.xのNetWitness Endpoint(NWE)Thick Clientを同じサーバにインストールする必要があります。NWEメタ キーがLog Decoderのtable-map.xmlファイル内に存在する必要があります。また、NWEメタ キーがindex-concentrator-custom.xmlファイル内に存在する必要があります。NWE Thick Clientは、Windows専用のアプリケーションです。完全なセットアップ手順は、バージョン 4.4の『NetWitness Endpointユーザ ガイド』を参照してください。

NetWitness Endpointでイベントを開くには、次の手順を実行します。

  1. [ナビゲート]ビューを開き、次の手順を実行します。
    1. クエリ]ドロップダウンで、[詳細]を選択して、次のクエリのいずれかを入力します。nwe.callback_id exists または device.type='nwendpoint'
      エンドポイント データが[値]パネルに表示されます。
    2. イベントを右クリックし、メニューで[イベント]を選択します。
  2. (バージョン11.1以降)[調査]>[イベント]に移動します。[クエリ]ドロップダウンで、[詳細]を選択して、次のクエリのいずれかを入力します。nwe.callback_id exists または device.type='nwendpoint'
    エンドポイント データが[値]パネルに表示されます。
  3. イベントを選択します。
    [イベント]ビューが開き、選択したイベントが[テキスト]ビューに表示されます。
    [テキスト分析]で開かれたエンドポイント イベント
  4. イベント ヘッダーで、[エンドポイントへの移行]をクリックします。
    新しいブラウザ タブでURL ecatui://<id>が開き、NWE Thick Clientが起動されます。NetWitness Endpoint Thick Clientがインストールされていない場合は、データが表示されず、次のメッセージが表示されます。Applicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.

[ナビゲート]ビューでのEndpoint Thick Clientルックアップの起動

[ナビゲート]ビューからデータのEndpoint Thick Clientルックアップ機能を起動する方法:

  1. 次のいずれかのメタ キーのメタ値を右クリックします。ip-src, ip-dstipv6-srcipv6-dstorig_ipalias-hostdomain.dst、またはclient.
  2. コンテキスト メニューで[外部ルックアップ]を選択します。
    外部ルックアップ オプションのサブメニューが表示されます。
    外部ルックアップ メニューのオプションの例
  3. Endpoint Thick Clientルックアップ]を選択します。
    [サーバに接続]ダイアログが表示されます。
    RSA ECAT構成ダイアログ
  4. Endpoint Thick Clientへのログインに必要なユーザ名とパスワードを入力して、[接続]をクリックします。
    NetWitness Endpointでドリル ポイントが開きます。
    RSA ECATで開かれたInvestigateからのドリル ポイント

イベントでのメタ値のルックアップの実行

[イベント]ビューでは、特定のメタ値を右クリックして、ドロップダウン メニューのオプションを使用することにより、イベント内のメタ値をさらに調査することができます。すべてのフィールドに右クリック アクションがあるわけではありません。内部ルックアップと外部ルックアップを実行するには、次の手順を実行します。

  1. [イベント分]ビューで、イベント リスト、[イベント メタ]パネル、またはイベント ヘッダー内のメタ値を右クリックします。一部のメタ値にドロップダウン メニューがあります。
    メタ値を右クリックしてその他のアクションを表示
  2. 次の内部ルックアップのいずれかを選択します。

    • コピー:メタ値をクリップボードにコピーします。
    • 新しいタブで再フォーカスして調査:新しいタブで、選択したメタ値に焦点を当てた別の調査を起動します。
    • 新しいタブでドリルダウン:ドリルダウンを適用して、新しいタブで起動し、[ナビゲート]ビュー内のデータをドリルダウンします。
    • 新しいタブで!EQUALSドリルダウン:(!EQUALS)をメタに適用して、新しいタブを起動すると、結果からメタ値が効率的に除外されます。
    • ホスト ルックアップ:[調査]>[ホスト]ビューで値を検索します。
    • Endpoint Thick Clientルックアップ:Endpoint Thick Clientでメタ値を分析します(Endpointエージェントがインストールされたクライアントの場合)。
    • Liveルックアップ:さらに分析するためにLiveでメタ値を検索します。
  3. 外部ルックアップの場合は、メタ値にポインタを合わせて、右クリックし、[外部ルックアップ]を選択します。
    イベント分析からの外部ルックアップ
  4. サブメニューで、使用可能な外部ルックアップのいずれかを選択します。

[ナビゲート]ビューからのその他の外部ルックアップの起動

[ナビゲート]ビューからデータの外部ルックアップ(NetWitness Endpoint Thick Clientルックアップ以外)を起動するには、次の手順を実行します。 

  1. 次のいずれかのメタ キーのメタ値を右クリックします。ip-srcip-dstipv6-srcipv6-dstorig_ipalias-hostdomain.dst、またはclient.
  2. コンテキスト メニューで[外部ルックアップ]を選択します。
    外部ルックアップ オプションのサブメニューが表示されます。
    外部ルックアップ メニューのオプションの例
  3. いずれかのルックアップ オプションを選択します。
    選択したメタ値が指定された検索機能で開きます。たとえば、SANS IP Historyを選択した場合は、ドリルダウン ポイントの情報がSANS Internet Storm Centerに表示されます。
    SANS IPルックアップ

You are here
Table of Contents > イベントの再構築と分析 > メタ キーのルックアップの起動

Attachments

    Outcomes