Investigation:[イベントのサマリー]ビューでのダッシュレット データのフィルタ

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、アナリストがSecurity Analyticsの[マルウェア]ビューの[イベントのサマリー]に表示されるダッシュレットでデータをフィルタリングする手順について説明します。

[イベントのサマリー]には、選択可能なダッシュレットを使用して調査中のスキャンに関するサマリーが表示されます。[イベントのサマリー]にはデフォルトでダッシュレットが配置されていますが、アナリストは各ダッシュレットを構成して、情報のフィルタやドリルダウンを行うことができます。

104MWSumEvents2.png

このトピックの後半で、ダッシュレットの管理と構成の手順を説明します。

スコア ホイールダッシュレットの構成

スコア ホイールは、解析したセッションの概要情報をビジュアル化したもので、それぞれのスコア カテゴリーについて高、中、低のスコアが付けられます。静的、ネットワーク、コミュニティ、サンドボックス)を示します。スコア ホイールは、その内容を確認するセッションを調べる迅速な方法です。カテゴリ別の結果を視覚的に比較できるように、各リングは別々のスコア カテゴリを表します。

104ScrWheel.png

リングの順序を変更することで、あるカテゴリーでフラグが付けられていても別のカテゴリーでは付けられていないセキュリティ侵害インジケータをハイライト表示することができます。リングの順序を変更しながら同じ結果を比較することで、セッション内の新しい脆弱性を視覚的に表示でき、関心のあるセッションを詳しく調べることができます。次に、2つの使用例を紹介します。

ゼロ デイ攻撃の候補の例

この例では、コミュニティ カテゴリーでは有害とされておらず、その他すべてのスコア カテゴリーで有害とされているセッションを調べる方法を示します。結果として表示されるセッションはゼロ デイ攻撃の候補を示します。

  1. 次の順序でスコア ホイールのリングを構成します
    コミュニティ](最も内側)>[静的]>[ネットワーク]>[サンドボックス](最も外側)
  2. 最も内側のリング(コミュニティ)が緑色のスライスになっている部分で、最も外側のリング(サンドボックス)の赤色のスライスをクリックします。緑色(最も内側)->[静的]:赤色->[ネットワーク]:赤色->[サンドボックス]:赤色(最も外側)。 
    ScoreWheelLabelExample.png

有害なセッションの例

この例では、結果として表示されるセッションがすべてのスコア カテゴリで有害と示され、Malware Analysisによって、マルウェアである可能性が非常に高いと指定されているセッションを調べる方法を示します。

  1. 次の順序でスコア ホイールのリングを構成します
    コミュニティ](最も内側)>[静的]>[ネットワーク]>[サンドボックス](最も外側)
  2. 最も内側のリング(コミュニティ)が赤色のスライスになっている、最も外側のリング(サンドボックス)の赤色のスライスをクリックします。赤色(最も内側)->[静的]:赤色->[ネットワーク]:赤色->[サンドボックス]:赤色(最も外側)。 

リングの順序をスコア モジュールごとに並べ替え

スコア ホイールでは、スコア モジュールでリングの順序を調整できます。リングの順序はデフォルトでは内から外に向かって静的、ネットワーク、コミュニティ、サンドボックスの順になっています。

リングの順序を変更するには、次の手順を実行します。

  1. 次のいずれかを実行します。
    1. 各スコア モジュールをクリックしてドラッグし、上下に移動します。
    2. 各スコア モジュールを選択して、上下のボタンを使って移動します。
  2. 表示したいリングの順序になったら、[更新]ボタンをクリックします。
    スコア ホイールが新しい順序で更新されます。
    ScoreWheelViewEvents.png

[メタ ツリーマップ]ダッシュレットの構成

メタ ツリーマップ チャートでは、メタのタイプ、カウント、解析のタイプ別にメタの内訳を表示およびフィルタリングできます。3つの選択リストを使ってフィルタを設定すると、メタ ツリーマップ チャートがすぐに更新されます。

104MetTreMap.png

[メタの内訳]ダッシュレットの構成

[メタの内訳]ダッシュレットには、特定のメタ キーの値を可視化した情報が円チャートで表示されます。メタの内訳チャートでは、メタのタイプとカウントで、メタの内訳をフィルタできます。2つの選択リストを使ってフィルタを設定すると、メタの内訳チャートがすぐに更新されます。

104MetaBDDshlt.png

[イベント タイムライン]ダッシュレットの構成

[イベント タイムライン]ダッシュレットには、イベントを可視化した情報がタイムラインで表示されます。[イベント タイムライン]で使用できる追加のフィルタはありません。

104EvTimeln.png

イベント リストのすべてのイベントを開く

[イベント タイムライン]では、イベントのリスト全体をイベント リストで開くことができます。具体的には、104ViewEventsIc.pngをクリックします。このオプションは、すべてのチャートの[イベント]横のカウントをクリックする場合と異なり、イベント リスト内の現在のドリルダウン ポイントを開きます。

[Malware 極めて疑わしいマルウェアの上位リスト]ダッシュレットの構成

[Malware 極めて疑わしいマルウェアの上位リスト]ダッシュレットでは、最も疑わしい上位10のイベントがイベント リストまたはファイル リストに表示されます。また、このダッシュレットはUnifiedダッシュボードでも使用可能です。構成オプションについては、「Security Analyticsスタート ガイド」を参照してください。


[高確率IOCとハイスコアのマルウェア]ダッシュレットの構成

[高確率IOCとハイスコアのマルウェア]ダッシュレットには、イベントにマルウェアが含まれている確率およびスコアが高いことを示すセキュリティ侵害インジケータが表示されます。また、このダッシュレットはUnifiedダッシュボードでも使用可能です。構成オプションについては、「Security Analyticsスタート ガイド」の「[Malware 高確率IOCとハイスコアのマルウェア]ダッシュレット」を参照してください。

[Malware ゼロデイの可能性が高いマルウェアの上位リスト]ダッシュレットの構成

[Malwareゼロデイの可能性が高いマルウェアの上位リスト]ダッシュレットでは、ゼロデイの可能性があるイベントがイベント リストまたはファイル リストに表示されます。また、ダッシュレットはUnifiedダッシュボードでも使用可能です。構成オプションについては、「Security Analyticsスタート ガイド」を参照してください。

You are here
Table of Contents > Malware Analysisの実施 > [イベントのサマリー]ビューでのダッシュレット データのフィルタ

Attachments

    Outcomes