Investigate:[コンテキスト ルックアップ]パネル

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by Shree Kulkarni on Oct 12, 2018
Version 3Show Document
  • View in full screen mode
 

管理者がContext Hubサービスを構成した後、Investigateの[ナビゲート]ビューと[イベント]ビューに、メタ値に関するコンテキスト情報を表示できます。Context Hubサービスでは、メタ タイプとメタ キーのデフォルトのマッピングが事前に構成されています。Context Hubのメタ値とInvestigationメタ キーのマッピングの詳細については、「Context Hub構成ガイド」の「メタ タイプとメタ キーのマッピングの管理」を参照してください。

[コンテキスト ルックアップ]パネルは、Investigationモジュールの[ナビゲート]ビューと[イベント]ビューの右側に表示されます。Context Hubリストに追加されているメタ値は、[ナビゲート]ビューの[値]パネルに灰色でハイライト表示されます。ハイライト表示されている値を右クリックし、[コンテキスト ルックアップ]を選択すると、表示されるコンテキスト メニューで、選択したメタ値の構成済みのソースの[コンテキスト ルックアップ]パネルにルックアップ結果が表示されます。[コンテキスト ルックアップ]パネル アイコン バーでソースを選択すると、コンテキスト情報を表示できます。

ワークフロー

クエリーの結果の表示がハイライト表示されたInvestigateワークフロー

どうしますか?

                                           
ユーザーの役割処理オプション...ドキュメント
脅威ハンターメタ値の調査* データ ポイントの追加のコンテキストの表示
脅威ハンタークエリーの送信サービスまたはコレクションの調査の開始
脅威ハンタークエリーの結果の表示* 調査の実施
脅威ハンターイベントの再構築イベントの再構築

脅威ハンター

対話形式のイベント分析の実施

[イベント分析]ビューでのイベントの分析

インシデント対応担当

インシデントの調査

NetWitness Respondユーザー ガイド

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

次の図は、[コンテキスト ルックアップ]パネルの例であり、コントロールと機能を表で説明します。

[ナビゲート]ビューで開いている[コンテキスト]パネル

                               
機能説明
ソース オプション バー 使用可能なソースのアイコンが表示されます。エンドポイント、インシデント、アラート、リストを示します。
ソース名 選択したアイコンに基づいてソース名が表示されます。
  • Endpoint
  • インシデント
  • アラート
  • リスト
並べ替え表示されたコンテキスト情報をソートするオプションをドロップダウンで選択できます。ソート オプションには[重大度 - 高い順]、[重大度 - 低い順]、[日付 - 古い順]、[日付 - 新しい順]があり、ソースのタイプによって異なります。
更新アイコン ルックアップ結果を更新します。
n件のアイテム(最初のn件の結果)フッターに結果の総数と現在表示されている結果の件数が表示されます。たとえば、[50件のアラート(最初の50件のアラート)]のように表示されます。

ルックアップ結果

[コンテキスト ルックアップ]パネルには、構成済みのソースから取得したコンテキスト データに基づいて次の情報が表示されます。

インシデント

インシデントは時間順(新しい順)に表示され、さらに優先度のステータスでソートされます。インシデントのルックアップでは、次の情報が表示されます。

  • インシデントの名前とID
  • インシデントの優先度のステータス
  • インシデントのリスク スコアの値
  • インシデントが作成された日付
  • インシデントのステータス
  • インシデントの割り当て先
  • 更新日:コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
  • タイム ウィンドウ: これは[Respondの構成]ウィンドウの[クエリーの対象期間(日数)]フィールドに設定された値に基づいています。詳細については、「Context Hub構成ガイド」の[データ ソースとしてのRespondの構成]のトピックを参照してください。
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

アラート

アラートが重大度に基づいて表示されます。アラートのルックアップでは、次の情報が表示されます。

  • アラート名
  • アラートの重大度の値
  • アラートが作成された日付
  • インシデントID:アラートが関連づけられているインシデントのIDです(該当する場合)。
  • ソース:イベント ソース名
  • アラートに関連するイベントの数。
  • 更新日: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
  • タイム ウィンドウ: これは[Respondの構成]ウィンドウの[クエリーの対象期間(日数)]フィールドに設定された値に基づいています。詳細については、「Context Hub構成ガイド」の[データ ソースとしてのRespondの構成]のトピックを参照してください。
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

リスト

リストのルックアップでは、次の情報が表示されます。

  • リスト名
  • リストを作成した所有者
  • 作成日
  • 更新日
  • リストの説明

Endpoint

エンドポイントのルックアップでは、次の情報が表示されます。

  • マシン名とマシンのIPアドレス。
    IPまたはエンドポイント マシン名をクリックすると、エンドポイントUIに移動してさらに詳しい調査を実行できます。
  • 更新日: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
  • マシン スコア:マシンIIOCスコアは、モジュールのスコアに基づいて集計されます。
  • モジュールの数:選択したマシンのアクティブなファイルの数。
  • 更新日:エンドポイント データベースでスキャン結果が最後に更新された時刻を示します。
  • 最後にログインしたユーザー
  • マシンのMACアドレス
  • オペレーティング システムのバージョン
  • 管理メモ(該当する場合)
  • 管理ステータス(該当する場合)
  • 最も疑わしいモジュール(IIOCスコアが500を超えるモジュール)。これは[エンドポイントの構成]ウィンドウの[最小IIOCスコア]フィールドに設定された値に基づいています。[最小IIOCスコア]のデフォルト値は500です。
  • マシンIIOCレベル
You are here
Table of Contents > Investigationの参考情報 > [コンテキスト ルックアップ]パネル

Attachments

    Outcomes