Investigation:Investigationでのリストとリスト値の管理

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

アナリストは、[Investigation]ビューでContext Hubのリストとリスト値を追加できます。Context Hubサービスは、RSA Security Analytics 10.6以降に含まれます。

Context Hubサービスが有効化され、構成されている場合、Security Analyticsは、[ナビゲーション]ビューと[イベント]ビューで直接Incident Management、カスタム リスト、ECATからのエンリッチメント データを提供します。[Investigation]ビューではエンリッチメント データを使用できるメタ値はすぐにわかるようハイライト表示され、その値をクリックしてコンテキスト情報やインテリジェンスを検索できます。

さらに、[ナビゲート]ビューや[イベント]ビューの[値]パネルで、リストの表示、既存のリスト内のメタ値の編集、新しいリストの作成を実行できます。メタ値をリストに追加すると、コンテキスト ルックアップ オプションを使用してそのメタ値を調査できます。

前提条件

アナリストが[Investigation]でリストを管理するためには、管理者が次のタスクを完了する必要があります。

  • Context Hubサービスを有効にします。
  • [Investigation]ビューからコンテキスト ルックアップを実行するユーザーに、Manage List from Investigation権限を含んだアナリストのロールを割り当てます。
  • システム セキュリティとユーザー管理ガイド」にある「ロールの権限」と「ロールと権限によるユーザーの管理」の説明に従って適切なロールと権限を設定します。

既存のリストへのメタ値の追加

Context Hubの既存のリストにメタ値を追加するには、次の手順を実行します。

  1. ナビゲート」ビューでサービスを調査する時、メタ値(たとえば、[Source IP]、[Destination IP]、または[Username]の値)を右クリックし、コンテキスト メニューから[リストへの追加/削除]を選択します。
    F-rc-meta-list.png
    リストへの追加/削除]ダイアログが表示されます。
  2. リスト]フィールドで、メタ値を追加するリストをドロップダウンから選択します。複数のリストを選択可能です。
    F-add-remove-list1.png
  3. Saveをクリックします。
    選択したリストにメタ値が追加されます。

[Investigation]でのContext Hubリストからのメタ値の削除

リストからメタ値を削除するには、次の手順を実行します。

  1. リストへの追加/削除]ダイアログの[リスト]フィールドで、メタ値を含むリストを表示します。
  2. メタ値を削除したいリストの削除アイコン(x)をクリックします。
  3. Saveをクリックします。
    削除したリストから、メタ値が削除されます。

[Investigation]での新しいリストの作成

[Investigation]でContext Hubリストを作成するには、次の手順を実行します。

  1. リストへの追加/削除]ダイアログで、[新しいリストの作成]をクリックします。
    F-add-remove-list2.png
  2. 名前]フィールドに、リストの一意の名前を入力します。
  3. 説明]フィールドに、リストの説明を入力します。
  4. 作成]をクリックしてリストを作成します。
  5. 保存]をクリックして、作成したリストにメタ値を追加します。
    これらのリストは、コンテキスト情報を取得するデータ ソースと見なされます。
You are here
Table of Contents > 調査の実施 > [ナビゲート]ビューでのドリルダウン ポイントの操作 > Investigationでのリストとリスト値の管理

Attachments

    Outcomes