調査:結果の追加のコンテキストを検索

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

Context Hubは、複数の構成可能なデータ ソースからのエンティティに関するデータを統合する、一元化されたサービスです。このデータにより、特定のクエリで即座に得られる結果を超えて、追加のコンテキストで調査を拡張することができます。たとえば、Context Hubにより、指定したエンティティがインシデント、アラート、フィード、コミュニティ インテリジェンスの関連資料で言及されているかどうかを確認することができます。

コンテキスト情報の表示を有効にするには、管理者がContext HubサービスをRSA NetWitness Platformに追加し、『Context Hub構成ガイド』の説明に従って、Context Hubサービスのデータ ソースを構成する必要があります。『システム セキュリティとユーザ管理ガイド』の「ロールの権限」および「ロールと権限によるユーザの管理」の説明に従い、アナリストのロールで、Context Lookup権限を許可する必要があります。

Context Hubサービスが有効化され、構成されている場合、NetWitness Platformは、[ナビゲーション]ビュー、[イベント]ビュー、[レガシー イベント]ビューで直接NetWitness Respond、カスタム リスト、およびNetWitness Endpointからのエンリッチメント データを提供します。[調査]ビューではエンリッチメント データを使用できるメタ値はすぐにわかるようハイライト表示され、その値をクリックしてコンテキスト情報やインテリジェンスを検索できます。Context Hubでイベントに関連付けられた要素に関する詳細とインテリジェンスを検索することができます。これらの構成要素またはエンティティは、IPアドレス、ユーザ名、ホスト名、ドメイン名、ファイル名、ファイル ハッシュなどの識別子です。RSA NetWitness Endpointなどの構成されたソースからのデータは、何が起こっているのかを理解するために役立ちます。

さらに、Context Hubエンリッチメントのリストの追加と値の表示のほか、リストの表示、既存のリスト内のメタ値の編集、新しいリストの作成を実行できます。メタ値をリストに追加すると、コンテキスト ルックアップ オプションを使用してそのメタ値を調査できます。

注: バージョン11.2以前では、追加のコンテキストの検索を[ナビゲート]ビューまたは[レガシーイベント]ビューで行えますが、[イベント分析]ビューでは行えません。

アナリストが[調査]でリストを管理するためには、管理者が次のタスクを完了する必要があります。

  • Context Hubサービスを有効にします。
  • [調査]ビューからコンテキスト ルックアップを実行するユーザに、Manage List from Investigation権限を含んだアナリストのロールを割り当てます。
  • システム セキュリティとユーザ管理ガイド」にある「ロールの権限」と「ロールと権限によるユーザの管理」の説明に従って適切なロールと権限を設定します。

[コンテキスト ルックアップ]パネルを開く

[コンテキスト検索]パネルで、個々のデータ ソースを表示してさらに調べることができます。各データ ソースについて表示される情報の詳細については、「[コンテキスト ルックアップ]パネル」を参照してください。

[ナビゲート]ビューと[レガシー イベント]ビューでは、関連づけられたコンテキスト データを持つエンティティが灰色の背景でハイライト表示されます。エンティティにカーソルを合わせると、使用可能なデータのサマリーを示すホバー ボックスが表示されます。エンティティを右クリックすると、Context Hubは構成されたデータ ソースに関連情報を照会し、[コンテキスト検索]パネルがブラウザ ウィンドウの右側から開きます。[コンテキスト検索]パネルには、利用可能になったContext Hubの情報が入力されます。別の検索を実行するには、別のエンティティを右クリックすると、そのエンティティの情報で[コンテキスト検索]パネルが更新されます。

[コンテキストルックアップ]パネルが開いている[ナビゲート]ビューの例

[イベント]ビューでは、下線付きエンティティが[イベント]パネル、イベント ヘッダー、[イベント メタ]パネルに表示されます。エンティティに下線がある場合、NetWitness PlatformがContext Hubにそのエンティティ タイプに関する情報を追加していることを意味します。つまり、Context Hubに、そのエンティティに関する追加情報が存在する可能性があります。

次の図は、コンテキスト ツールチップを開いた[イベント]パネルの下線付きエンティティを示しています。コンテキスト ツールチップには、[コンテキストのハイライト]と[アクション]という2つのセクションがあります。

  • [コンテキストのハイライト]セクションの情報は、必要なアクションを判断するのに役立ちます。インシデント、アラート、リスト、エンドポイント、Live Connect、重要度、資産リスクの関連するデータを表示できます。データによっては、これらの項目をクリックして詳細を確認できます。
  • アクション]セクションには、使用可能なアクションが表示されます。例では、[リストへの追加/削除]、[[調査]>[ナビゲート]への移行]、[Archerへの移行]、[Endpoint Thick Clientへの移行]の各オプションを使用できます。

[イベント分析]ビューの下線付きイベントとホバー ボックスの例

次の図は、イベント ヘッダーと[イベント メタ]パネルでの下線付きエンティティを示しています。

イベント ヘッダーと[イベント メタ]パネルでの下線付きエンティティ

コンテキスト ツールチップの[コンテキストの表示]をクリックすると、Context Hubは構成されたデータ ソースに関連情報を照会し、[コンテキスト検索]パネルがブラウザ ウィンドウの右側から開きます。[コンテキスト検索]パネルには、利用可能になったContext Hubの情報が入力されます。別の検索を実行するには、別のエンティティで[コンテキストの表示]オプションを使用すると、そのエンティティの情報で[コンテキスト ルックアップ]パネルが更新されます。

また、「アクション」セクションで使用可能なアクションを実行することもできます。

「イベント」ビューの[コンテキスト ルックアップ]パネルで情報を表示するには、次の手順を実行します。

  1. それぞれのメタ値にカーソルを合わせると、データが使用可能なデータ ソースが表示されます。
    コンテキスト ツールチップには、選択したメタ値に使用できるコンテキスト データのリストが表示されます。
  2. コンテキスト ツールチップの[コンテキストの表示]をクリックして、[コンテキスト ルックアップ]パネルを開きます。
    ブラウザ ウィンドウの右側から[コンテキスト ルックアップ]パネルが開きます。[コンテキスト検索]パネルには、利用可能になったContext Hubの情報が入力されます。
    [コンテキスト ルックアップ]パネル
  3. エンティティに対してアクションを実行するには、コンテキスト ツールチップで使用可能なアクション([リストへの追加/削除]、[[調査]>[ナビゲート]への移行]、[Archerへの移行]、[Endpoint Thick Clientへの移行])のいずれかを選択します。詳細については、「[調査]>[ナビゲート]への移行([イベント]ビュー)」、「Archerへの移行([イベント]ビュー)」、「NetWitness Endpoint Thick Clientへの移行([イベント]ビュー)」、「ホワイト リストへのエンティティの追加」を参照してください。

    注: Archerデータが使用できない場合、またはArcherデータ ソースが応答しない場合、[Archerへの移行]リンクは無効になります。RSA Archer設定が有効で、正しく設定されていることを確認します。

    ホワイト リストへのエンティティの追加

    下線付きの任意のエンティティを、コンテキスト ツールチップから、ホワイトリストまたはブラックリストなどのリストに追加できます。たとえば、誤検知を減らすために、下線付きのドメインをホワイトリストに追加して、関連エンティティから除外します。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、Context Hubのリストに追加する下線付きのエンティティにマウスを合わせます。
      使用可能なアクションを示すコンテキスト ツールチップが表示されます。
    2. ツールチップの[アクション]セクションで、[リストへの追加/削除]をクリックします。
      [リストへの追加/削除]ダイアログに使用可能なリストが表示されます。

    3. 1つ以上のリストを選択し、[保存]をクリックします。
      選択したリストにエンティティが追加されます。

    リストの作成([イベント]ビュー)

    [イベント]ビューから、Context Hubのリストを作成できます。エンティティのリストをホワイトリストおよびブラックリストととして使用するだけでなく、エンティティの異常な動作を監視するために使用できます。たとえば、調査中、疑わしいIPアドレスとドメインの可視性を高めるために、これらを2つの別々のリストに追加することができます。1つのリストは、コマンド&コントロールの接続に関連している疑いがあるドメインのリストとし、もう1つのリストは、リモート アクセスのトロイの木馬の接続に関連するIPアドレスのものとします。これらのリストを使用してセキュリティ侵害インジケータを特定できます。

    Context Hubのリストを作成するには、次の手順を実行します。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、Context Hubのリストに追加する下線付きのエンティティにマウスを合わせます。
      使用可能なアクションを示すコンテキスト ツールチップが表示されます。
    2. ツールチップの[アクション]セクションで、[リストへの追加/削除]をクリックします。
    3. [リストへの追加/削除]ダイアログで、[新しいリストの作成]をクリックします。
    4. リストの固有の[リスト名]を入力します。リスト名は大文字と小文字を区別しません。
    5. (オプション)リストの[説明]を入力します。
      適切な権限を持つアナリストは、他のアナリストに送信してさらに追跡と分析を行うために、CSV形式でリストをエクスポートすることもできます。詳細については、『Context Hub構成ガイド』を参照してください。

    [調査]>[ナビゲート]への移行([イベント]ビュー)

    エンティティをより詳細に調査するには、[ナビゲート]ビューを開きます。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、下線付きのエンティティの上にマウスを合わせます。
    2. ツールチップの[アクション]セクションで、[[調査]>[ナビゲート]への移行]を選択します。
      [ナビゲート]ビューが開き、より詳細な調査を実行できます。詳細については、「結果セットの絞り込み」を参照してください。

    Archerへの移行([イベント]ビュー)

    RSA Archer Cyber Incident & Breach Responseでデバイスの詳細を表示するには、デバイスの詳細ページに移行できます。この情報は、IPアドレス、ホスト、およびMACアドレスに対してのみ表示されます。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、下線付きのエンティティ(IPアドレス、ホスト、MACアドレス)の上にマウスを合わせます。
    2. ツールチップの[アクション]セクションで、[Archerへの移行]を選択します。
    3. アプリケーションにログインしている場合は、「RSA Archerサイバー インシデントおよび侵害対応」が開き、それ以外の場合はログイン画面が表示されます。

     

    注: Archerデータが使用できない場合、またはArcherデータソースが応答しない場合、[Archerへの移行]リンクは無効になります。RSA Archer設定が有効で、正しく設定されていることを確認します。

    詳細については、『Archerとの統合ガイド』を参照してください。

    NetWitness Endpoint Thick Clientへの移行([イベント]ビュー)

    NetWitness Endpointシック クライアント アプリケーションがインストールされている場合は、コンテキスト ツールチップから起動できます。そこから、疑わしいIPアドレス、ホスト、MACアドレスをさらに調査できます。

    1. [イベント]パネル、イベント ヘッダー、[イベント メタ]パネルのいずれかで、下線付きのエンティティの上にマウスを合わせます。
    2. ツールチップの[アクション]セクションで、[Endpoint Thick Clientへの移行]を選択します。
      NetWitness Endpoint Thick Clientアプリケーションが、Webブラウザの外で開きます。

    シック クライアントの詳細については、『NetWitness Endpointユーザ ガイド』を参照してください。

[ナビゲート]ビューまたは[レガシー イベント]ビューでの[コンテキスト ルックアップ]パネルの表示

  1. それぞれのメタ値にカーソルを合わせると、データが使用可能なデータ ソースが表示されます。
    ホバー ボックスには、メタ データで使用可能なコンテキスト データを持つデータ ソースのリストが表示されます。データ ソースとして使用できるのは、NetWitness Endpoint、インシデント、アラート、ホスト、ファイル、フィード、Live Connectです。
  2. メタ値を右クリックして、ドロップダウン メニューで[コンテキスト ルックアップ]をクリックして[コンテキスト ルックアップ]パネルを開きます。
    これが[コンテキスト検索]のあるメニューです
    ブラウザ ウィンドウの右側から[コンテキスト ルックアップ]パネルが開きます。[コンテキスト検索]パネルには、利用可能になったContext Hubの情報が入力されます。
  3. [コンテキスト ルックアップ]パネルからアクションを実行するには、IPアドレスなどのエンティティを右クリックします。
    使用可能なオプションは、[リンクを新しいタブで開く]、[Investigateでクエリ]、[リンクのコピー]、[ペースト]、[Googleルックアップ]、[ウイルス合計ルックアップ]、[Endpointでクエリ]です。

  4. [コンテキスト ルックアップ]パネルを閉じるには、パネルの〇をクリックします。

既存のリストへのメタ値の追加([ナビゲート]ビューと[レガシー イベント]ビュー)

Context Hubの既存のリストにメタ値を追加するには、次の手順を実行します。

  1. ナビゲート」ビューまたは[レガシー イベント]ビューでサービスを調査するとき、メタ値(たとえば、[Source IP]、[Destination IP]、または[Username]の値)を右クリックし、コンテキスト メニューから[リストへの追加/削除]を選択します。
    リストへの追加/削除]ダイアログが表示されます。
    [リストへの追加/削除]ダイアログ
  2. リスト]フィールドで、メタ値を追加するリストをドロップダウンから選択します。複数のリストを選択可能です。
  3. 保存]をクリックします。
    選択したリストにメタ値が追加されます。

Context Hubリストからのメタ値の削除([ナビゲート]ビューと[レガシー イベント]ビュー)

リストからメタ値を削除するには、次の手順を実行します。

  1. リストへの追加/削除]ダイアログの[リスト]フィールドで、メタ値を含むリストを表示します。
  2. メタ値を削除したいリストの削除アイコン(x)をクリックします。
  3. 保存]をクリックします。
    削除したリストから、メタ値が削除されます。

新しいリストの作成([ナビゲート]ビューと[レガシー イベント]ビュー)

[調査]でContext Hubリストを作成するには、次の手順を実行します。

  1. リストへの追加/削除]ダイアログで、[新しいリストの作成]をクリックします。
    [新しいリストの作成]オプション
  2. 名前]フィールドに、リストの一意の名前を入力します。
  3. 説明]フィールドに、リストの説明を入力します。
  4. 作成]をクリックしてリストを作成します。
  5. 保存]をクリックして、作成したリストにメタ値を追加します。
    これらのリストは、コンテキスト情報を取得するためのデータ ソースと見なされます。

You are here
Table of Contents > イベントの再構築と分析 > 結果の追加のコンテキストを検索

Attachments

    Outcomes