NW:SOCロールに応じたデフォルト表示の設定

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on Jun 28, 2019
Version 6Show Document
  • View in full screen mode
 

SOC(Security Operations Center)のロールに応じたデフォルトのビューを設定しておくと、RSA NetWitness® Platformにログインした後、アプリケーションの移動を簡単にすることができます。デフォルト ビュー(ホーム ページとも呼ぶ)は、ユーザ環境設定で設定します。

次の図は、主なNetWitness Platformビューを示しています。

Main Menu icons: Respond, Investigate, Monitor, Configure, and Admin

  • 対応:このビューは、インシデント対応者が使用します。インシデントとアラートのリストを表示し、対応するインシデントを選別することができます。このビューは、従来の10.6の[インシデント管理]ビューに相当します。また、[対応]>[アラート]ビューは10.6 ESAの[アラート]>[サマリー]ビューを置換します。
    [対応]ビューは、デフォルトのデフォルト ビューです。[対応]ビューを表示する権限がない場合のデフォルト ビューは[監視]ビューになります。
  • 調査:このビューは、高度な脅威の調査と探索を行う脅威ハンターが使用します。インシデント対応者などの他のアナリストは、このビューに移行して、インシデントの詳細な分析を行うことができます。
  • 監視:このビューはすべてのユーザが使用します。以前のバージョンのクラッシックなビューです。ユーザ権限に応じて、関心のあるさまざまな領域に関するダッシュボードとレポートを表示できます。標準提供のダッシュボードを選択したり、ダッシュボードをインポートしたり、独自のカスタム ダッシュボードを作成することができます。
  • 構成:このビューは、NetWitness Platformのデータ ソースと入力データを構成する、脅威インテリジェンス担当者(コンテンツ エキスパート)が使用します。コンテンツ エキスパートは、この領域を使用してLiveコンテンツをダウンロードおよび管理します。インシデント ルールとESAルールを作成および管理することもできます。
    10.6では、[Live]、[インシデント]>[構成]、[アラート]>[構成]に相当します。
  • 管理:このビューは、アプリケーション全体のセットアップと管理を行うシステム管理者が使用します。

NetWitness Platformのメイン ビューのいずれかをデフォルト ビューとして選択できます。メイン ビューに加え、NetWitness Platformには標準提供のダッシュボードがあり、実行するタスクに応じて[監視]ビューで選択できます。

  • Default Dashboard

  • Identity Dashboard

  • Operations - Logs Dashboard

  • Operations - Network Dashboard
  • Overview Dashboard
  • Threat - Indicators Dashboard

  • Threat - Intrusion Dashboard

次の表では、一般的なSOCのロールと、SOCのロールに応じてユーザ環境設定でホーム ページとして選択できるビューを示します。複数のロールが割り当てられている場合は、NetWitness Platformにログインした時に表示するのに最も適切だと思うビューを選択します。

                                           
SOCのロールロールの説明デフォルトのホーム ページの候補

インシデント対応者
(Tier1アナリスト)

キューに登録されたインシデントとアラートに対応し、調査と改善を行います。

対応

脅威ハンター
(Tier 2/Tier 3アナリスト)

高度な脅威の調査および探索

調査
デフォルトの調査ビューを選択する方法については、『NetWitness調査ユーザ ガイド』を参照してください。

SOCマネージャ(SOCの管理およびレポート)

SOCの対応体制を管理し、インシデントやデータ侵害に対応します。

監視(ダッシュボードは監視ビューに表示されます。ログインしたときに、自身のSOCロールに適切な標準提供のダッシュボードを選択します。また、ダッシュボードをインポートしたり、独自のダッシュボードを作成できます。)

コンテンツ エキスパート
(脅威インテリジェンス)

NetWitness Platformのデータ ソースと入力データを構成します。

監視または構成(ダッシュボードは監視ビューに表示されます。ログインしたときに、自身のSOCロールに適切な事前定義のダッシュボードを選択します。また、ダッシュボードをインポートしたり、独自のダッシュボードを作成できます。[監視]ビューをデフォルト ビューとして選択した場合は、メイン メニューから[構成]ビューに移動できます。)

データ プライバシー責任者
(DPO)

管理者と同様に、DPOはプライバシーに関する機微情報を監視して保護します。

監視(ダッシュボードは監視ビューに表示されます。ログインしたときに、自身のSOCロールに適切な標準提供のダッシュボードを選択します。)

システム管理者

アプリケーション全体の構成と安定性を管理します。ユーザ アクセスを管理します。

管理

デフォルト ビューの設定

  1. ([対応]ビューと一部の[調査]ビュー)メイン メニュー バーでProfile iconを選択します。

    [ユーザ環境設定]ダイアログに、現在の環境設定が表示されます。

    User Preferences dialog accessed from the Respond and Investigate views

  2. デフォルト ホーム ページ]フィールドで、NetWitness Platformにログインしたときに表示するデフォルト ビューを選択します。前述の表を使用して、SOCのロールに基づく選択を行います。たとえば、インシデント対応者の場合は[対応]を選択し、脅威ハンターの場合は、[調査]を選択します。

    環境設定はすぐに反映されます。デフォルトのホーム ページはいつでも変更できます。その他の環境設定については、「ユーザ環境設定」を参照してください。

  3. 正しいデフォルト ビューを表示できることを確認するには、[サイン アウト]をクリックしてログアウトし、それから再度NetWitness Platformにログインします。

ユーザの構成に関する基本的なトラブルシューティングのヒント

次の表では、NetWitness Platformのユーザの構成に役立つ基本的なトラブルシューティングのヒントを提供します。

                               
問題トラブルシューティングのヒント

NetWitness Platformへのログイン時に、正しくないデフォルト ビューが表示される。

ユーザ環境設定の[デフォルト ホーム ページ]フィールドで正しいデフォルト ビューが設定されていることを確認します。監視ビューを選択した場合、SOCのロールに最も適切な事前定義されたダッシュ ボードを選択することができます。また、ダッシュボードをインポートしたり、独自のダッシュボードを作成できます。

正しいビューが表示されるが、メタデータがロードされない。

ブラウザの最新バージョンを使用していることを確認します。それでも問題が解決しない場合は、別のブラウザで試してみてください。たとえば、Safariを使用している場合は、FirefoxまたはChromeを使用してください。

Internet Explorer 10の使用時に、次のエラーが発生する。
The page can't be displayed.

NetWitness Platformは、Firefox、Chrome、Safariの最新バージョンをサポートしています。Internet Explorerを使用している場合、一部の機能は設計どおりに機能しません。サポート対象ブラウザを使用してみてください。

ログイン後に、何も表示されない。

管理者に問い合わせてください。アカウントに割り当てられているユーザ ロールや、他のトラブルシューティングが必要になる場合があります。

デフォルト ホーム ページを変更する場所が分からない。

[対応]ビューで[ユーザ環境設定]に移動するか、管理者に問い合わせてください。

You are here
Table of Contents > SOCロールに応じたデフォルト表示の設定

Attachments

    Outcomes