on Apr 20, 2018SOC(Security Operations Center)のロールに応じたデフォルトのビューを設定しておくと、RSA NetWitness® Platformにログインした後、アプリケーションの移動を簡単にすることができます。デフォルト ビュー(ホーム ページとも呼ぶ)は、ユーザ環境設定で設定します。
次の図は、主なNetWitness Platformビューを示しています。
- 対応:このビューは、インシデント対応者が使用します。インシデントとアラートのリストを表示し、対応するインシデントを選別することができます。このビューは、従来の10.6の[インシデント管理]ビューに相当します。また、[対応]>[アラート]ビューは10.6 ESAの[アラート]>[サマリー]ビューを置換します。
[対応]ビューは、デフォルトのデフォルト ビューです。[対応]ビューを表示する権限がない場合のデフォルト ビューは[監視]ビューになります。 - 調査:このビューは、高度な脅威の調査と探索を行う脅威ハンターが使用します。インシデント対応者などの他のアナリストは、このビューに移行して、インシデントの詳細な分析を行うことができます。
- 監視:このビューはすべてのユーザが使用します。以前のバージョンのクラッシックなビューです。ユーザ権限に応じて、関心のあるさまざまな領域に関するダッシュボードとレポートを表示できます。標準提供のダッシュボードを選択したり、ダッシュボードをインポートしたり、独自のカスタム ダッシュボードを作成することができます。
- 構成:このビューは、NetWitness Platformのデータ ソースと入力データを構成する、脅威インテリジェンス担当者(コンテンツ エキスパート)が使用します。コンテンツ エキスパートは、この領域を使用してLiveコンテンツをダウンロードおよび管理します。インシデント ルールとESAルールを作成および管理することもできます。
10.6では、[Live]、[インシデント]>[構成]、[アラート]>[構成]に相当します。 - 管理:このビューは、アプリケーション全体のセットアップと管理を行うシステム管理者が使用します。
NetWitness Platformのメイン ビューのいずれかをデフォルト ビューとして選択できます。メイン ビューに加え、NetWitness Platformには標準提供のダッシュボードがあり、実行するタスクに応じて[監視]ビューで選択できます。
-
Default Dashboard
-
Identity Dashboard
-
Operations - Logs Dashboard
- Operations - Network Dashboard
- Overview Dashboard
-
Threat - Indicators Dashboard
- Threat - Intrusion Dashboard
次の表では、一般的なSOCのロールと、SOCのロールに応じてユーザ環境設定でホーム ページとして選択できるビューを示します。複数のロールが割り当てられている場合は、NetWitness Platformにログインした時に表示するのに最も適切だと思うビューを選択します。
デフォルト ビューの設定
-
([対応]ビューと一部の[調査]ビュー)メイン メニュー バーで
を選択します。[ユーザ環境設定]ダイアログに、現在の環境設定が表示されます。
-
[デフォルト ホーム ページ]フィールドで、NetWitness Platformにログインしたときに表示するデフォルト ビューを選択します。前述の表を使用して、SOCのロールに基づく選択を行います。たとえば、インシデント対応者の場合は[対応]を選択し、脅威ハンターの場合は、[調査]を選択します。
環境設定はすぐに反映されます。デフォルトのホーム ページはいつでも変更できます。その他の環境設定については、「ユーザ環境設定」を参照してください。
- 正しいデフォルト ビューを表示できることを確認するには、[サイン アウト]をクリックしてログアウトし、それから再度NetWitness Platformにログインします。
ユーザの構成に関する基本的なトラブルシューティングのヒント
次の表では、NetWitness Platformのユーザの構成に役立つ基本的なトラブルシューティングのヒントを提供します。
