このトピックでは、デフォルトのInvestigationプラグインを使用して、[ナビゲート]ビューまたは[イベント]ビューから特定のメタ キーの外部ルックアップを実行する手順について説明します。
アナリストは、デフォルトで提供されているSecurity Analytics Investigation外部ルックアップを使用して、調査の時間を短縮できます。デフォルトで利用可能なルックアップ機能は、次のいずれかのメタ キーを右クリックすると使用できます: IP address (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip))、host (alias-host, domain.dst)、 client,、file-hash.
IPおよびhostの各メタ キーについては、次の検索機能が提供されています。
- Google Malware: Google Malware検索を新しいタブで開きます。
- McAfee SiteAdvisor:McAfee SiteAdvisor検索を新しいタブで開きます。
- BFK Passive DNS Collection: BFK Passive DNS Collection検索を新しいタブで開きます。
- CentralOps Whois for IPs and Hostnames: CentralOps Whois for IPs and Hostnames検索を新しいタブで開きます。
- Malwaredomainlist.com検索:Malwaredomainlist.com検索を新しいタブで開きます。
- Malwaredomains.com検索:Malwaredomains.com検索を新しいタブで開きます。
- Robtex IP検索:Robtex IP検索を新しいタブで開きます。
- SamSpade検索:SamSpade検索を新しいタブで開きます。
- ThreatExpert検索:ThreatExpert検索を新しいタブで開きます。
- UrlVoid検索:UrlVoid検索を新しいタブで開きます。
file-hashおよびalias-hostの各メタ キーで外部ルックアップからGoogleを選択すると、Google検索が新しいタブで開きます。
clientメタ キーには、ECATルックアップ オプションが提供されており、ブラウザと同じマシンにECATクライアントがインストールされている場合、ECATクライアントが新しいタブで開きます。
管理者は、外部ルックアップやその他のカスタム アクションを追加できます(「システム構成ガイド」の「コンテキスト メニューのカスタム アクションの追加」を参照してください)。
ECAT IOCルックアップの起動
[Investigation]>[ナビゲート]ビューからデータのECATルックアップ機能を起動する方法
- ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dstとclient.のいずれかのメタ キーのメタ値を右クリックします。
- コンテキスト メニューで[外部ルックアップ]を選択します。
外部ルックアップのサブメニューが表示されます。
- [ECAT IOCルックアップ]を選択します。
アプリケーションを選択するよう求めるダイアログが表示されます。 - ECATを選択し、[OK]をクリックします。
[RSA ECAT Configuration]ダイアログが表示されます。
- ECATクライアントへのログインに必要なユーザー名とパスワードを入力して、[Connect]をクリックします。
ドリルダウン ポイントがRSA ECATで開きます。
その他の外部ルックアップの起動
[Investigation]>[ナビゲート]ビューからデータの外部ルックアップ機能(ECAT IOC以外)を起動するには、次の手順を実行します。
- ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dstとclient.のいずれかのメタ キーのメタ値を右クリックします。
- コンテキスト メニューで[外部ルックアップ]を選択します。
外部ルックアップのサブメニューが表示されます。
- いずれかの検索オプションを選択します。
選択したメタ値が指定された検索機能で開きます。たとえば、SANS IP Historyを選択した場合は、ドリルダウン ポイントの情報がSANS Internet Storm Centerに表示されます。
