調査:メタ グループを使用して関連性の高いメタ キーにフォーカス

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

メタ グループは、選択されたメタ キーとメタ エンティティをグループにまとめ、メタ キーとメタ エンティティが見つかったデータのみを表示します。[ナビゲート]ビューでは、[ナビゲート]ビューの[値]パネルに表示するメタキーを制限するため、メタ グループを使用できます。NetWitness Platformの新規インストールには、調査の対象のデータ セットを見つけるために役立つ、標準提供のメタ グループが含まれています。標準提供のメタ グループ名には、識別のためにRSAのプレフィックスが付いており、複製できますが、編集または削除することはできません。独自のグループを作成することや、標準提供のグループを複製して編集し、カスタム グループを作成することができます。

調査中にメタ グループが有効になっている場合、[値]パネルの情報には、選択されたグループのメタ キーのみが表示されます。座標表示チャートを開くと、メタ キーとメタ エンティティが軸として左から右に表示されます。カスタム メタ グループごとに2つのバージョンを作成しておくと便利です。1つはメタ値の分析に使用し、もう1つはメタ キーを減らしたサブセットを作成し、座標表示チャートの表示に使用します。

カスタム メタ グループは、サービスのすべてのユーザが利用でき、エクスポートして異なるサービスにインポートすることもできます(ただし、そのサービスで利用可能なメタ キーに限定されます)。

注: 管理者が、サービスのカスタム インデックス ファイルを編集して、カスタム メタ グループを手動で追加した場合、サービスの再起動後に、調査で新しいグループが利用可能になります。

このセクションでは、特定のサービスでナビゲート時に使用するカスタム メタ グループを追加、編集、インポート、エクスポート、削除する方法について説明します。

標準提供メタ グループ

RSA NetWitness Platformには、インストール後すぐに使用可能な標準提供のメタ グループがあります。標準提供メタ グループは、一般的なユースケースでの調査に焦点を当て、RSA Hunting Packを使用した脅威検出をサポートするために役立ちます。標準提供メタ グループは次のとおりです。

  • RSA Email Analysisには、メールのやり取りで使用されるメタ キーが含まれています。
  • RSA Endpoint Analysisには、NetWitness Endpoint(NWE)ホストのプロセス、ファイル、ユーザ、接続に関する洞察を提供するメタ キーが含まれています。
  • RSA Malware Analysisには、イベントに含まれるファイルのセキュリティ侵害インジケータをマークするメタ キーが含まれています。
  • RSA Outbound HTTPには、外部へのWebトラフィックに関する洞察を提供するメタ キーが含まれています。
  • RSA Outbound SSL/TLSには、暗号化されたWebトラフィックに焦点を当てたメタ キーが含まれています。
  • RSA Query Hostsには、ホストを見つけるために使用されるすべてのメタ キーが包含されています。
  • RSA Query IPsには、IPアドレスを見つけるために使用されるすべてのメタ キーが包含されています。
  • RSA Query Mailには、メールを見つけるために使用されるすべてのメタ キーが包含されています。
  • RSA Query Usersには、ユーザを見つけるために使用されるすべてのメタ キーが包含されています。
  • RSA Threat Analysisには、データセット内の潜在的な脅威をマークするメタ キーが含まれています。
  • RSA User & Entity Behavior Analysisには、ユーザとエンティティの振る舞いを分析するために使用されるすべてのメタ キーが包含されています。
  • RSA Web Analysisには、Webトラフィックの異常をマークするメタ キーが含まれています。

メタ グループの作成とメタ キーの追加

  1. ナビゲート]ビューでサービスを調査しているときに、ツールバーで、[メタ]>[メタ グループの管理]を選択します。
    [メタ グループの管理]ダイアログが表示されます。初期状態では標準提供のグループのみが構成され、グループ名の下に一覧表示されます。他のカスタム グループが構成されている場合は、それらもグループ名の下に一覧表示されます。
    [メタ グループの管理]ダイアログ
  2. [メタ グループ]リストの上にあるツールバーで、[追加]アイコンをクリックします。
    右側にフォームが開いて編集可能な状態になります。
    新しいメタ グループを作成する準備ができた[メタ グループの管理]ダイアログ
  3. 名前]フィールドに新しいメタ グループの名前を入力します。
  4. メタ キー]セクションのツールバーで、[追加]アイコンをクリックします。
    [利用可能なメタ キー]ダイアログに、キーがアルファベット順で表示されます。
    [利用可能なメタ キー]ダイアログ
  5. メタ キーのリストを絞り込むには、[フィルタ]フィールドに単語またはフレーズを入力し、Enterキーを押します。
    一致するメタ キーがリストに表示されます。大文字と小文字は区別されません。[フィルタ]フィールドのテキストを削除してEnterキーを押すと、フィルタを削除できます。
  6. メタ グループに追加するメタ キーを個別に選択するには、チェックボックスをオンにします。すべてのメタ キーを選択するには、タイトル バーのチェックボックスをオンにして[追加]をクリックします。
    選択したメタ キーが[メタ キー]リストに追加されます。
  7. (オプション)メタ キーをロードして表示する順序を変更したい場合は、メタ キーをクリックして、新しい位置にドラッグします。同時に複数のメタ キーを選択できます。
  8. メタ グループの作成を終了するには、次のいずれかを実行します。
    1. メタ グループを保存するには、[保存]をクリックします。
      グループが作成され、使用可能になります。
    2. メタ グループを保存して、現在の[調査]ビューに適用するには、[保存して適用]をクリックします。
      グループが作成され、現在の[調査]ビューにすぐに適用されます。
  9. 閉じる]をクリックします。

標準提供メタ グループの複製と編集

標準提供のメタ グループをカスタマイズする場合は、グループを複製してから、複製を編集する必要があります。

  1. [メタ グループの管理]リストから標準提供のメタ グループを選択し、複製アイコンをクリックします。
    右側に編集可能なフォームが開き、標準提供グループ内のすべてのメタ キーが表示されます。
    メタ キーを選択するフォームが開いた[メタ グループの管理]ダイアログ
  2. 新しいグループの名前を入力し、次の「メタ グループの編集」の説明に従い編集を続けます。

メタ グループの編集

  1. メタ グループ]リストからグループを選択します。
    右側のフォームが開いて編集可能な状態になります。
    [メタ グループの管理]ダイアログで編集用に開いたメタ グループ
  2. (オプション)グループの[名前]を編集します。
  3. (オプション)前述の「メタ グループの作成とメタ キーの追加」の説明に従って、新しいメタ キーを追加します。
  4. (オプション)キーの順序を変更する場合は、キーをドラッグ&ドロップします。同時に複数のキーを選択できます。
  5. (オプション)メタ キーの初期表示を変更するには、表示オプションをクリックして、いずれかの初期表示オプションを選択します。
    メタ グループを変更するとき、[開く]に設定できないキーがあります。メタ グループのデフォルトの初期表示を[開く]に変更し、一部のメタ キーがインデックスされていない場合、インデックスされていないメタ キーの設定は自動的に[自動]に戻ります。その結果、メタ キーがインデックスされている場合のみ自動的にロードされます。インデックスされていないメタ キーは手動で開くまで閉じた状態で表示されます
    初期表示の値は[表示]列に表示されます。
  6. 変更を保存するには、[保存]をクリックします。
  7. 現在の[ナビゲート]ビューに変更を適用するには、[保存して適用]をクリックします。

メタ グループの削除

  1. メタ グループ]リストで、削除するグループを選択します。
  2. 削除をクリックします。
    確認のダイアログが表示され、ここで削除をキャンセルするか、続行するかを選択できます。
  3. はい]をクリックします。
    メタ グループが削除されます。削除するメタ グループを使用していた場合には、デフォルトのメタ キーを使用して表示が更新されます。

メタ グループのエクスポート

ユーザ定義のメタ グループは、各サービスに作成されます。メタ グループを別のサービスで使用できるようにするには、ローカル ファイル システムにメタ グループをエクスポートする必要があります。メタ グループをエクスポートするには、次の手順を実行します。

  1. メタ グループ]リストで、エクスポートするグループを1つ以上選択します。
  2. エクスポートをクリックします。
    選択したグループがMetaGroups.jsnというファイル名で、ローカル ファイル システムにダウンロードされます。ダウンロード先に以前ダウンロードした同名のファイルが存在する場合は、上書きを避けるため、ファイル名に数字が付加されます。

メタ グループのインポート

別のサービスのユーザ定義メタ グループを、現在調査中のサービスで使用するには、ローカル ファイル システムからMetaGroups.jsnファイルをインポートする必要があります。メタ グループをインポートする時、既存のメタ グループが含まれていると、エラー メッセージが表示されます。重複したグループをインポートするには、まず既存のグループを削除しておかなければなりません。プロファイルで使用されているメタ グループは削除できません。

メタ グループをインポートするには、次の手順を実行します。

  1. メタ グループ]リストで、インポートするファイルを選択し、インポートをクリックします。
    選択ダイアログが表示されます。
    メタ グループのインポート
  2. 参照]をクリックし、ローカル ファイル システム上の、ダウンロードしたMetaGroups.jsnファイルが格納されているディレクトリに移動します。ファイルを選択し、[開く]をクリックします。
    [ファイルのアップロード]フィールドにファイル名が表示されます。
  3. アップロード]をクリックします。
    アップロード プロセスが開始され、アップロードが正常に完了したことを示すメッセージが表示されます。[メタ グループ]リストにグループが追加されます。ファイル内のメタ グループが既存のメタ グループと重複する場合は、メタ グループがすでに存在することを通知するダイアログが表示されます。

You are here
Table of Contents > 結果セットの絞り込み > メタ グループを使用して関連性の高いメタ キーにフォーカス

Attachments

    Outcomes