Investigation:メタデータを座標表示チャートに追加する

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、[ナビゲート]ビューで座標表示チャートを使用する方法を示します。これによりアナリストは、異常なイベントの兆候を示し、調査する価値のあるメタ キーとメタ値の組み合わを集中的に調査できるようになります。

座標表示チャートは、Investigationの現在のドリルダウン ポイントをビジュアル化し、3個以上のメタ キーを同時に調査するために使用されます。複数のメタ キーを同時にビジュアル化すると、個々のメタ キーとメタ値には問題がなくても、それらを組み合わせたときに異常なパターンや関係が明らかになる場合などに、多変量パターンおよび比較に関連したセキュリティの問題を特定するうえで役立ちます。 

効果的な座標表示チャートに関するベスト プラクティス

効果的な座標表示チャートを作成するには、以下の推奨事項を実行します。

  • すべてのデータをビジュアル化しようとするのではなく、[ナビゲート]ビューの1つのドリルダウン ポイントから開始します。 
  • 必要に応じて時間範囲を制限します。
  • 可能な限り少ない数の有益なメタ キーを軸として表示するよう選択します。 
  • メタ値間の異常性が強調されるように、チャート内の直線に沿って軸の順序を指定します。
  • 有益なメタ キーとその順序を特定できる場合は、将来の調査で使用するカスタム メタ グループを作成します。たとえば、Windows実行可能ファイル タイプのカスタム メタ グループを作成できます。
  • RSAコミュニティを通じてRSAによって配布されているカスタム メタ グループをインポートします。
  • カスタム メタ グループを.jsnファイルとしてインポートおよびエクスポートすることによって、グループを再利用したり共有したりします。
  • カスタム メタ グループごとに2つのバージョンを作成しておくと便利です。1つはメタ値の分析に使用し、もう1つは同じユースケースの小規模サブセットに重点を置いた座標表示チャートの作成に使用します。

注:メタ グループをSecurity Analyticsサーバにインポートする場合に、これらのグループのいずれかがSecurity Analyticsにすでに存在していると、エラー メッセージが表示されます。 重複したグループをインポートするには、まず既存のグループを削除しておかなければなりません。プロファイルによって使用されているメタ グループは削除できません。

Security Analytics 10.5以降では、効果的な座標表示チャートを構築するため、いくつかの最適化が行われています。

  • アナリストは、すべてのメタ キーを含んでいるセッションのみをチャートで表示するよう指定できます。
  • 管理者は、[Administration]>[システム]>[Investigation]の座標表示の設定で、表示するメタ値の数を増やすことができます。

座標表示で使用できるRSAメタ グループ

RSAコミュニティからは、事前定義されたカスタム メタ グループのセットをjsnファイル (MetaGroups_ootb_w_query.jsn)として入手できます。特定のアクティビティを強調するよう構成されたメタ グループを使い始めるには、この.jsnファイルを[メタ グループの管理]ダイアログでインポートします。座標表示チャートに適した標的型アクティビティとしては、次のようなものがあります。

  • ボットネット ビーコン
  • コバート チャネル
  • メール
  • 暗号化セッション
  • ファイル分析
  • Malware Analysis
  • クエリー ファイル
  • クエリー ホスト
  • クエリーIP
  • クエリー メール
  • クエリー ユーザー
  • クエリーWeb
  • SQLインジェクション攻撃
  • 脅威分析
  • Web分析

座標表示チャートの表示

[Investigation]>[ナビゲート]ビューで、次の操作を行います。

  1. [値]パネルの上の[チャート]パネルが閉じられている場合は、[チャートの表示]を選択します。
  2. ツールバーで[メタ グループの使用]>[File Analysis]を選択します。
  3. ]パネルの[Forensic Fingerprint]メタ キーの下で、windows_executablejavascriptの順にクリックします。階層リンクに「filetype = 'windows_executable' | filetype = 'javascript'」と表示されます。
    PCprocValues.png
  4. 現在のドリルダウン ポイントのデフォルトのタイムライン チャートが表示されます。
    PCVisDef.png
  5. チャート]パネルで[オプション]を選択します。
    [チャート オプション]ダイアログが表示されます。
  6. チャートの表示]ドロップダウン リストから[座標表示]を選択して、[適用]をクリックします。
    VisOptDga.png
    チャートがロードされます。この例では、249個のイベントが見つかり、199個の一意のパスがビジュアル化されます。
    PCVisanykeys.png

座標表示チャートで使用するメタ キーの選択

座標表示チャートが開いた状態で、次の操作を行います。

  1. [チャート]パネルで[オプション]を選択します。
    [チャート オプション]ダイアログが表示されます。ツールバーのic-info2.pngをクリックすると、見やすいチャートに適した軸数が表示されます。推奨される軸の数は、ブラウザのサイズによって変化します。ブラウザ ウィンドウを拡大すると、推奨される数は増加します。
    VisOptDgInfo.png
  2. メタ キーの順序を変更するには、メタ キーを上下にドラッグして目的の順序に変更します。 
  3. メタ キーを削除するには、選択ボックスをクリックして、をクリックします。
    メタ キーが削除されますが、変更は適用されません。
  4. 元の状態に戻すには、をクリックします。
    削除したメタ キーがすべてリストアされ、行った変更がすべて削除されます。
  5. メタ キーを個別に選択する場合は、icon-add.pngをクリックし、[デフォルトのメタ キーから追加]を選択し、ドロップダウン リストからメタ キーを選択します。
    AddPCKeys.png
    選択したキーが表示されます。
    AddKeysPCDg2.png
  6. メタ グループ内のすべてのメタ キーを追加する必要がある場合、メタ キーを個別に追加する必要はありません。[メタ グループから追加]を選択して、ドロップダウン リストからグループを選択します。
    AddPCGrps.png
    選択したメタ グループがフィールドに表示されます。
  7. キーまたはグループの追加方法を、[現在のキーのリストを置き換え]、[現在のキーのリストの後に挿入]、[現在のキーのリストの先頭に挿入]から選択します。
    AddMeth.png
  8. 手順を完了するには、[追加]をクリックします。
    [チャート オプション]ダイアログに、選択したメタ キーまたはメタ グループが表示されます。
  9. 新しいチャートを表示するには、[適用]をクリックします。
    PCVisanykeys.png

座標表示チャートの最適化

  1. すべてのメタ キーを含んでいないイベントを削除することによってチャートを最適化するには、[オプション]を選択します。
    105PcOpt.png
  2. [チャート オプション]ダイアログで[すべてのメタ キーが1つのイベントに存在する必要があります]を選択します。[適用]をクリックします。
    結果として表示されるチャートは、見やすく便利になり、通常は、パスの数が減少します。
    PCVisAllKeys.png
  3. 少数の点を選択し、左右に伸びるパスをハイライト表示するには、軸をクリックします。カーソルが十字線に切り替わり、ドラッグして軸上の値を選択できるようになります。マウスを離すと、パスがハイライト表示されます。次の例では、SSLサービス タイプがグレーのボックスでハイライト表示されています。
    PCVisHighl.png
  4. チャートを拡大するには、パネルの下縁を下方向にドラッグし、ブラウザ ウィンドウの右縁をドラッグして広げます。

使用例

次の例では、セッションのファイル メタデータを表すメタ キーを座標表示チャートに表示しています。左から右に、Extensions、Forensic Fingerprint、Filenameという3つのメタ キー(軸)があり、各軸に沿って値が表示されます。Extension軸の値はファイル拡張子を示し、Forensic Fingerprint軸の値はWindows実行可能ファイルのタイプを示します。通常、ファイル拡張子と、想定されるフォレンジック フィンガープリントは一致します。しかし、gifファイルがWindows実行可能ファイル フィンガープリントと組み合わせになることは異常です。gifファイル拡張子は、ファイル タイプ(x86pe)、3番目の軸の2つのファイル名との関連を強調表示するために選択されています。これにより、アナリストは調査に役立つファイルをすばやく特定できます。

このビューにアクセスするには、次の手順を実行します。

  1. 値の昇順で並べ替えます。
  2. 2つのフィルタ(file type = 'windows executable' および extension = 'gif')を[ナビゲート]ビューに適用し、データの量を制限します。
  3. 3つの軸(File Extension、Forensic Fingerprint、Filename)を選択して座標表示チャートを構成します。
    invsamp.png

大量データセットのチャートの例

座標表示チャートに大量のデータセットを適用したこの例では、アナリストがチャートの内容を理解するうえで役立ついくつかのメッセージを示しています。

  • チャートを作成するため、メタ値のスキャンがSecurity Analyticsによって開始され、結果が返されます。典型的な時間範囲に含まれるメタ値の数は、最大で1,000万個になります。Security Analyticsは、返されたメタ値の数がメタ値の結果制限に達すると、メタ値のスキャン制限に達するまでスキャンしていなくてもチャートを表示します。 
  • 座標表示チャートに表示できるデータ量には一定の制限があります。Security Analytics 10.4以前では、この制限が、軸数にデータ値を掛け合わせた値(パフォーマンスを保護する場合は1,000 x軸数)に基づいて決定されますが、Security Analytics 10.5以降では、管理者が、[Administration]>[システム]>[Investigation]で、座標表示の制限値を構成します。

PCVisanykeys.png

大量データセットの場合、小量データセットとメタ キーの場合と比べて、座標表示チャートの処理に時間がかかります。Security Analyticsは、パフォーマンスを維持するために、管理者が設定した制限値に達するまで、[値]パネルからのメタ値をチャートに表示します。制限値に達した場合は、次のような情報メッセージが表示されます:イベントのサブセットのみが表示されます。

チャートに表示された249個のイベントのうち、一意の座標表示パスは示したのは199個だけです。イベントの中にはすべてのメタ キーを含まないものがあり、そのようなイベントには、メタ値が存在しないことを意味するDNEというラベルがつけられます。

You are here
Table of Contents > 調査の実施 > [ナビゲート]ビューでの情報のフィルタ > メタデータを座標表示チャートに追加する

Attachments

    Outcomes