Investigation:[コンテキスト ルックアップ]パネル

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

Context Hubサービスを構成した後、Investigationモジュールの[ナビゲート]ビューと[イベント]ビューで[コンテキスト ルックアップ]パネルを表示できます。このパネルを初めて表示した際、コンテキスト ルックアップの実行手順が表示されます。以降、このパネルは最小化されますが、必要に応じて拡張できます。

[コンテキスト ルックアップ]パネルでは、メタ値のコンテキスト ルックアップを実行するまで、すべてのデータは表示されません。コンテキスト情報に関連づけられているメタ値は、グレーの背景でハイライト表示されます。選択したメタ値のさまざまな構成済みのソースについて、検索結果が[コンテキスト ルックアップ]パネルに表示されます。このパネルに関連する手順については、次のトピックを参照してください:データ ポイントの追加コンテキストの表示.

このパネルにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[ナビゲート]または[イベント]を選択します。
  2. メタ値を右クリックし、コンテキスト メニューで[コンテキスト ルックアップ]を選択します。

    [コンテキスト ルックアップ]パネルにコンテキスト情報が表示されます。

  3. アイコン バーで対応するアイコンをクリックして、コンテキスト情報を表示するソースを選択します。

次の図に、[コンテキスト ルックアップ]パネルの例を示します。

ConLkpPnl.png

機能

[コンテキスト ルックアップ]パネルのコントロールと機能を次に示します。

                               
機能説明

ソース オプション バー
lookup-icons2.png

使用可能なソースのアイコンが表示されます。ECAT、インシデント、アラート、リストを示します。 
ソース名

選択したアイコンに基づいてソース名が表示されます。

  • ECAT
  • インシデント
  • Alerts
  • LISTS
並べ替え表示されたコンテキスト情報をソートするオプションをドロップダウンで選択できます。ソート オプションには[重大度 - 高い順]、[重大度 - 低い順]、[日付 - 古い順]、[日付 - 新しい順]があり、ソースのタイプによって異なります。
ic-refresh2.png ルックアップ結果を更新します。
n件のアイテム(最初のn件の結果)フッターに結果の総数と現在表示されている結果の件数が表示されます。たとえば、[50件のアラート(最初の50件のアラート)]のように表示されます。

ルックアップ結果

[コンテキスト ルックアップ]パネルには、構成済みの各種のソースから取得したコンテキスト データに基づいて次の情報が表示されます。

インシデント

インシデントは時間順(新しい順)に表示され、さらに優先度のステータスでソートされます。インシデントのルックアップでは、次の情報が表示されます。

  • インシデントの名前とID
  • インシデントの優先度のステータス
  • インシデントのリスク スコアの値
  • インシデントが作成された日付
  • インシデントのステータス
  • インシデントの割り当て先
  • 更新日:コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。 
  • タイム ウィンドウ:Incident Managementのレスポンスの構成]ウィンドウの[クエリーの対象期間]フィールドに設定された値に基づきます。詳細については、「Context Hub構成ガイド」の[Incident Management応答の構成]ダイアログを参照してください。
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

次の図に、インシデントのルックアップ結果の例を示します。
F-lookup-panel-incidents.png

Alerts

アラートが重大度に基づいて表示されます。アラートのルックアップでは、次の情報が表示されます。

  • アラート名
  • アラートの重大度の値
  • アラートが作成された日付
  • インシデントID:アラートが関連づけられているインシデントのIDです(該当する場合)。
  • ソース:イベント ソース名
  • アラートに関連するイベントの数。
  • 更新日: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。 
  • タイム ウィンドウ: [Incident Managementのレスポンスの構成]ウィンドウの[クエリーの対象期間]フィールドに設定された値に基づきます。「Context Hub構成ガイド」を参照してください。 
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

次の図に、アラートのルックアップ結果の例を示します。

F-lookup-panel-alerts.png

LISTS

リストのルックアップでは、次の情報が表示されます。

  • リスト名
  • リストを作成した所有者
  • 作成日
  • 更新日
  • リストの説明

次の図に、リスト データ ソースのルックアップ結果の例を示します。

F-lookup-panel-lists.png

ECAT

ECATのルックアップでは、次の情報が表示されます。

  • マシン名とマシンのIPアドレス。 
    IPまたはECATマシン名をクリックすると、ECATユーザー インタフェースに移動してさらに詳しい調査を実行できます。
  • 更新日:コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。 
  • マシン スコア:モジュールのスコアに基づいてマシンのIIOCスコアが集計されます。
  • モジュールの数:選択したマシンのアクティブなファイルの数。 
  • 更新日: ECATデータベースでスキャン結果が最後に更新された時刻を示します。
  • 最後にログインしたユーザー
  • マシンのMACアドレス
  • オペレーティング システムのバージョン
  • 管理メモ(該当する場合)
  • 管理ステータス(該当する場合)
  • 最も疑わしいモジュール(IIOCスコアが500を超えるモジュール)。[Incident Managementのレスポンスの構成]ウィンドウの[最小IIOCスコア]フィールドで設定された値に基づきます。[最小IIOCスコア]のデフォルト値は500です。
  • マシンIIOCレベル

次の図に、ECATデータ ソースのルックアップ結果の例を示します。

F-lookup-panel-ecat.png

You are here
Table of Contents > Investigationの参考資料 > [コンテキスト ルックアップ]パネル

Attachments

    Outcomes