Investigation:メタ キーの外部ルックアップの起動

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、デフォルトのInvestigationプラグインを使用して、[ナビゲート]ビューまたは[イベント]ビューから特定のメタ キーの外部ルックアップを実行する手順について説明します。

アナリストは、デフォルトで提供されているSecurity Analytics Investigation外部ルックアップを使用して、調査の時間を短縮できます。デフォルトで利用可能なルックアップ機能は、次のいずれかのメタ キーを右クリックすると使用できます: IP address (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip))、host (alias-host, domain.dst)、 client,file-hash.

IPおよびhostの各メタ キーについては、次の検索機能が提供されています。

  • Google Malware: Google Malware検索を新しいタブで開きます。
  • McAfee SiteAdvisor:McAfee SiteAdvisor検索を新しいタブで開きます。
  • BFK Passive DNS Collection:  BFK Passive DNS Collection検索を新しいタブで開きます。
  • CentralOps Whois for IPs and Hostnames: CentralOps Whois for IPs and Hostnames検索を新しいタブで開きます。
  • Malwaredomainlist.com検索:Malwaredomainlist.com検索を新しいタブで開きます。
  • Malwaredomains.com検索:Malwaredomains.com検索を新しいタブで開きます。
  • Robtex IP検索:Robtex IP検索を新しいタブで開きます。
  • SamSpade検索:SamSpade検索を新しいタブで開きます。
  • ThreatExpert検索:ThreatExpert検索を新しいタブで開きます。
  • UrlVoid検索:UrlVoid検索を新しいタブで開きます。

file-hashおよびalias-hostの各メタ キーで外部ルックアップからGoogleを選択すると、Google検索が新しいタブで開きます。

clientメタ キーには、ECATルックアップ オプションが提供されており、ブラウザと同じマシンにECATクライアントがインストールされている場合、ECATクライアントが新しいタブで開きます。

管理者は、外部ルックアップやその他のカスタム アクションを追加できます(「システム構成ガイド」の「コンテキスト メニューのカスタム アクションの追加」を参照してください)。

ECAT IOCルックアップの起動

[Investigation]>[ナビゲート]ビューからデータのECATルックアップ機能を起動する方法

  1. ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dstclient.のいずれかのメタ キーのメタ値を右クリックします。
  2. コンテキスト メニューで[外部ルックアップ]を選択します。
    外部ルックアップのサブメニューが表示されます。
    ExtLU.png
  3. ECAT IOCルックアップ]を選択します。
    アプリケーションを選択するよう求めるダイアログが表示されます。
  4. ECATを選択し、[OK]をクリックします。
    [RSA ECAT Configuration]ダイアログが表示されます。
    ecatlookup3.png
  5. ECATクライアントへのログインに必要なユーザー名とパスワードを入力して、[Connect]をクリックします。
    ドリルダウン ポイントがRSA ECATで開きます。
    ecatlookup4.png

その他の外部ルックアップの起動

[Investigation]>[ナビゲート]ビューからデータの外部ルックアップ機能(ECAT IOC以外)を起動するには、次の手順を実行します。 

  1. ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dstclient.のいずれかのメタ キーのメタ値を右クリックします。
  2. コンテキスト メニューで[外部ルックアップ]を選択します。
    外部ルックアップのサブメニューが表示されます。
    ExtLU.png
  3. いずれかの検索オプションを選択します。
    選択したメタ値が指定された検索機能で開きます。たとえば、SANS IP Historyを選択した場合は、ドリルダウン ポイントの情報がSANS Internet Storm Centerに表示されます。
    SANSIPlookup.png
You are here
Table of Contents > 調査の実施 > [ナビゲート]ビューでのドリルダウン ポイントの操作 > メタ キーの外部ルックアップの起動

Attachments

    Outcomes