Investigation:イベントの詳細なマルウェア解析の表示

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、Security Analytics Malware Analysisイベント グリッドのイベントの詳細を表示するための手順について説明します。

Malware Analysisイベント グリッドでSecurity Analytics Malware Analysisスキャンのイベントのリストを表示し、そこから特定のイベントをダブル クリックすると、イベントの詳細な解析結果を表示できます。

Malware Analysisイベントの詳細の表示

  1. [Investigation]>[Malware Analysis]タブで調査を開始します。
    [イベントのサマリー]が表示されます。このページには、イベント タイムラインを含む4つのチャートが含まれます。
  2. 次のいずれかを実行します。
    1. イベント タイムラインですべてのイベントを表示するには、[イベントの表示]ボタンをクリックします。the Viewthe
    2. メタの内訳メタ ツリーマップ チャートスコア ホイールのデータをダブル クリックします。
      イベント リストが表示されます。
  3. イベントをダブル クリックします。
    イベントの解析結果が表示されます。
    MWAnaRes.png
  4. (オプション)イベントを削除する場合、[アクション]>[イベントの削除]を選択します。
  5. ネットワーク セッションの再構築を表示するには、[アクション]>[ネットワーク セッションの表示]を選択します。
    [ナビゲート]ビューの[イベントの再構築]でセッションが開きます。

ネットワーク解析結果のピボット

ネットワーク解析結果はいくつかの方法でピボットできます。

  1. ネットワーク解析結果まで画面をスクロールします。
    NetAnaRes.png
  2. メタ値の上にカーソルを置いて左クリックします。
    コンテキスト メニューが表示されます。
    ServMetConMenu.png
  3. ナビゲート]ビューで選択されたメタ値を表示するには、[調査の開始]と時間オプションを選択します。
  4. 選択されたメタ値をブラウザで表示するには、[Webブラウザで開く]>[Googleで開く]を選択します。

静的解析結果でのファイル アクションの使用

  1. 静的解析結果まで画面をスクロールします。
    StatAnaRes.png
  2. ファイルをダウンロードするには、ファイル名を選択して、ドロップダウン メニューから[ファイルのダウンロード(圧縮)]または[ファイルのダウンロード(ネイティブ)]を選択します。圧縮形式でファイルをダウンロードする方が安全です。
    MWAResStatcFlDD.png
  3. ファイルが安全または安全でないことをハッシュのリストにマークするには、[ファイル ハッシュ フィルタ]を選択して、[ハッシュに無害のマークを付ける]または[ハッシュに有害のマークを付ける]を選択します。

コミュニティ解析結果の詳細の表示

コミュニティ解析結果には、コミュニティからの結果の概要が示され、リスクとしてフラグが付けられるかまたは無害として識別されるセキュリティ侵害インジケータが設定されます。

さらに、このビューには、[インストールされたAVベンダー]と[インストールされていないAVベンダー]の結果も表示されます。現在のMalware Analysisサービスに対して構成されているインストール済みのアンチ ウィルス ベンダーの結果とコミュニティの結果とを比較できます。さらに、現在のMalware Analysisサービスに対してインストール済みとして構成されていないアンチ ウィルス ベンダーのリストから結果を表示することもできます。

アンチ ウィルス ベンダーの結果の各行には、コミュニティにおいてIOCがプライマリ アンチ ウィルス(104PrimaryAVIcon.jpg)またはセカンダリ アンチ ウィルス(104AVSecIcon.jpg)ベンダーとして検出されたかどうかを示す盾アイコン、インストールされたベンダーまたはインストールされていないベンダーの名前、コミュニティおよびアンチ ウィルス ベンダーによって検出されたマルウェアまたはリスクの名前が含まれます。アンチ ウィルス ベンダーによってリスクが検出されない場合は、リスクの名前の代わりに-- 未検出 --と表示されます。

[インストールされていないAVベンダー]セクションは、展開するとすべてのエントリーが表示されますが、スクロールを最小限にするためにデフォルトでは折りたたまれています。[+]をクリックすると、リストが展開されます。

現在のMalware Analysisサービスに対して[インストールされたAVベンダー]が構成されていない場合、次のメッセージが表示されます。インストール済みとしてマークされているAVベンダーがありません。Malware Analysisのサービスの構成ページに移動して、インストール済みのアンチ ウィルス ベンダーを識別してください。


104AVResults.png

ThreatGridユーザー インタフェースでのサンドボックス解析結果の表示

ThreatGridに登録している場合、ThreatGridからサンドボックスの結果を直接表示できます。

  1. サンドボックス解析結果まで画面をスクロールします。
    MWSandboxResSample.png
  2. 解析ID]の上にカーソルを置き、右クリックします。
    MWSBAnalysisResOpeninTG.png
  3. ThreatGridで開く]を選択します。
    ThreatGridの解析レポートが表示されます。
    TGGui.png
You are here
Table of Contents > Malware Analysisの実施 > イベントの詳細なマルウェア解析の表示

Attachments

    Outcomes