Context Hubサービスの概要

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

Context Hubは、Investigationビューのエンリッチメント ルックアップ機能を提供するRSA Security Analyticsの新しいサービスです。このサービスでは、自動化されたインラインのエンリッチメント表示だけでなく、オン デマンドのエンリッチメント ルックアップ機能も提供します。アナリストは、Context Hubから得られた追加のインサイトをコンテキスト情報およびインテリジェンスとして調査に使用できます。エンリッチメント データのソースには、Incident Management、カスタム リスト、ECATなどがあります。

Context Hubサービスの特徴を次に示します。

  • ESA(Event Stream Analysis)でホストされます。
  • デフォルトで、次のメタ タイプに対するエンリッチメント ルックアップをサポートします:IPアドレス、ユーザー、ドメイン、MACアドレス、ファイル名、ファイル ハッシュ、ホスト

目的

Context Hubサービスでは、アナリストが調査の際により的確な意思決定を行えるように、複数のデータ ソースから得られるコンテキスト情報をInvestigationに統合します。メタ値とコンテキスト情報を単一のインターフェイスで確認できるため、アナリストは情報に優先順位をつけて重点領域を特定することができます。たとえば、アナリストが特定のメタ値に対するコンテキスト ルックアップを実行すると、そのメタ値に関してIncident Managementで最近生成されたインシデントやアラートが表示されます。

カスタム リストは、アナリストが独自に作成できるリストです。たとえば、ブラックリスト、ホワイトリスト、ウォッチリストなどを作成できます。これらのカスタム リストのアイテムは、CSVファイルをインポートするか、Investigationビューで[リストへの追加/削除]オプションを使用してメタ値を追加することで設定できます。カスタム リストは自動的に、メタ値のインライン表示および、オン デマンド エンリッチメント ルックアップのデータ ソースになります。

リストはアナリスト同士のやり取りにも役立ちます。たとえば、Tier 2のアナリストが疑わしいと報告したアイテムについて、Tier 1のアナリストがインシデントを確認したり、必要に応じてインシデントを作成したりできます。

ECATのコンテキスト情報は、アナリストがエンドポイントのモジュールやマシンのインジケータを入手するために使用できます。

管理者のワークフロー

Context Hubサービスのデータ ソースは、Context Hubサービスの[構成]ビューで管理者が構成できます。詳細については、次のトピックを参照してください:ステップ2:Context Hubのデータ ソースの構成.

管理者は、必要に応じて、カスタム メタ キーのコンテキスト ルックアップを構成できます。また、アナリストが使用できるように、リストをインポートしたりエクスポートしたりできます。

 

アナリストのワークフロー

コンテキスト情報があるメタ値は、[Investigation]>[ナビゲート]ビューにおいてグレーの背景でハイライト表示されます。ハイライト表示されたメタ値に対しては、コンテキスト情報のソースを示すインライン インジケータも表示されます。

注:ハイライト表示されたすべてのメタ値についてコンテキスト ルックアップ情報を確認できるとは限りません。これは、データ ソースのコンテキスト情報が使用可能とマークされた後に変更される場合があるためです。

メタ値に対してコンテキスト インジケータが表示されない場合、アナリストはオン デマンド クエリーを開始して、コンテキスト情報を使用できないかどうかを確認することができます。これを行うには、コンテキスト ルックアップをサポートするメタ値を右クリックし、[コンテキスト ルックアップ]メニュー オプションを選択します。

[コンテキスト ルックアップ]オプションは、Investigation>[イベント]ビューでもサポートされています。ただし、このビューではインライン インジケータは使用できません。そのため、メタ値に対するオン デマンド ルックアップを開始する必要があります。

右クリック メニューの[コンテキスト ルックアップ]オプションを選択すると、Investigationビューの右側に[コンテキスト ルックアップ]パネルが表示されます。このパネルに、構成済みのソースから取得された、メタ値に関連するコンテキスト情報が表示されます。コンテキストに関する追加の情報が必要な場合は、[コンテキスト ルックアップ]パネルに表示されたルックアップ結果から対応するリンクをクリックします。詳細については、「InvestigationおよびMalware Analysisガイド」の「データ ポイントの追加コンテキストの表示」トピックを参照してください。

アナリストは、新規または既存のリストに対してメタ値の追加や削除を行うことができます。これを行うには、同じメタ値を右クリックし、[リストへの追加/削除]オプションを選択します。

ユーザーのロールと権限

アナリストがSecurity Analytics Investigationでコンテキスト ルックアップを実行したりカスタム リストを使用したりするには、適切な権限が必要です。 

Security Analytics 10.6では、Investigation用の新しい権限として、Context LookupManage List from Investigation の2つが追加されています。これらの権限は、Analyst、SOC Managers、Malware Analystsのロールにデフォルトで追加されます。ただし、以前のバージョンからSecurity Analytics 10.6にアップグレードする場合は、それらの権限を管理者が構成する必要があります。ロールと権限の詳細については、「システム セキュリティとユーザー管理ガイド」の「ロールの権限」および「ロールと権限によるユーザーの管理」のトピックを参照してください。

Context Lookup権限を持つアナリストはInvestigationビューからコンテキスト ルックアップを実行できます。詳細については、「InvestigationおよびMalware Analysisガイド」の「データ ポイントの追加コンテキストの表示」トピックを参照してください。

Manage List from Investigation権限を持つアナリストはInvestigationビューからリストとリスト値を管理できます。詳細については、「InvestigationおよびMalware Analysisガイド」の「Investigationでのリストとリスト値の管理」トピックを参照してください。

ここでは、Incident Management、ECAT、カスタム リストなどのデータ ソースをContext Hubサービスで使用する例として、いくつかのシナリオを紹介します。

Context HubサービスにおけるIncident Managementの使用例

Tier 2のアナリストがメタ値の中から新しいセキュリティ侵害インジケータがないかどうかを探すときは、コンテキスト エンリッチメント ソースであるIncident Managementからのフィードバックが非常に有益です。アナリストは、選択したメタ値に関する既存のインシデントやアラートがないかどうかを確認できます。これにより、すでにインシデントがあるメタ値は無視して、新しい、他に類のないセキュリティ侵害インジケータを重点的に探すことができます。

情報は、同じ[Investigation]>[ナビゲート]ビューに表示されます。そのため、別のビューやツールに切り替える必要がなく、効率的にエンリッチメント データにアクセスできます。

Context HubサービスにおけるECATの使用例

Tier 2のアナリストがInvestigationビューでルックアップ結果を確認するときに、ECATエージェントを実行しているIP、ホスト、Macアドレスを表示できるようになります。これにより、Security Analytics Investigationビューで直接確認することが可能になり、潜在的なセキュリティ侵害をこれまでよりも見つけやすくなります。コンテキスト ルックアップの詳細として、ECATエージェントを実行しているエンドポイントに関する概要が提供されるため、アナリストはシステムが侵害されているかどうかを判断できます。判断するにあたってリスクやIIOCスコアなどの追加の情報が必要な場合は、ECATで記録されたメモやステータスを確認したり、IIOCスコアが上位のモジュールを確認したりできます。さらに詳細な情報が必要な場合は、[コンテキスト ルックアップ]パネルに表示された詳細をクリックしてECATのユーザー インタフェースに直接アクセスできます。そして、ピボット ポイントとして示されたマシンで、システムが他のどのマシンと通信しているかを確認することで、侵害されたホストが他ににないかどうかを調査できます。

Context Hubサービスにおけるリストの使用例

使用例1

Tier 3のアナリストは、疑わしいセッションに関連づけられたIPおよびドメインをIncident Managementのコンテキストでチェックし、関連するインシデントまたはアラートがなければ、調査対象のIPおよびドメインの異常な動作を監視する必要があります。

このような場合、アナリストはそれらのメタ値をリストに含めることができます。たとえば、疑わしいIPアドレスの可視性を高めるには、同じメタ値を2つのリストに追加します。1つはコマンド&コントロールによる接続への関連が疑われるドメインのリストで、もう1つはリモート アクセス型トロイの木馬接続に関連するIPアドレスのリストです。

このようにすることで、Tier 2のアナリストは、このコンテキストのリストに基づいてセキュリティ侵害インジケータを特定できます。さらに、詳しいトラッキングや解析に向けたインシデントを作成するために、CSV形式でリストをエクスポートしてTier 1のアナリストに送ることもできます。

使用例2

Tier 3のアナリストが特定のセキュリティ侵害インジケータを検出するためのいくつかのカスタム コンテンツを作成し、他のアナリストが新しく生成されたメタ値を確認するときのために、その新しいコンテンツの詳細を提供したいと考えています。このような場合は、新たに3つのカスタム リスト(重大、不審、アドバイザリ)を作成して、新しいコンテンツがトリガーされたときに表示される可能性がある新しいメタ値を分類します。各リストの説明として背景情報を提供することで、新しいメタ値の意味やそれらが調査でマークされているときの対処法を他のアナリストに知らせることができます。これは、インシデントやアラートの作成に代わるものではなく、調査でそれらの新しいメタ値を初めて見たアナリストに詳細を提供するための方法です。

 
You are here
Table of Contents > Context Hub

Attachments

    Outcomes