対応:[コンテキスト ルックアップ]パネル

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Oct 12, 2018
Version 2Show Document
  • View in full screen mode
 

Context Hubサービスでは、アナリストが分析を行い適切なアクションを行う際により的確な意思決定を行えるように、複数のデータ ソースから得られるコンテキスト情報を[対応]ビューに統合します。エンティティ、メタ値、コンテキスト情報を単一のインタフェースで確認できるため、アナリストは関心のある領域を特定することができます。たとえば、アナリストが特定のエンティティまたはメタ値の追加情報のクエリを実行すると、そのエンティティまたはメタ値に関して[対応]ビューで最近作成されたインシデントやアラートが表示されます。[コンテキスト ルックアップ]パネルには、IPアドレス、ユーザ、ホスト名、ドメイン、ファイル名、ファイル ハッシュなどの選択したエンティティまたはメタ値に関するコンテキスト情報が表示されます。使用可能なデータは、Context Hubに構成済みのソースによって異なります。

    

[コンテキスト ルックアップ]パネルには、Context Hubに構成されたソースで使用可能なデータからコンテキスト情報が表示されます。

実行したいことは何ですか?

                                 
ロール実行したいこと手順

インシデント対応者、アナリスト、脅威ハンター

[コンテキスト ルックアップ]パネルへの移動。

[インシデントの詳細]ビューから行う場合は、「コンテキスト情報の表示 」を参照してください。

[アラートの詳細]ビューから行う場合は、「コンテキスト情報の表示 」を参照してください。

インシデント対応者、アナリスト、脅威ハンター選択したエンティティの[コンテキスト ルックアップ]パネルの情報について理解する。このトピックの情報を参照してください。

管理者

Context Hubのデータ ソースの構成。Context Hub構成ガイド」の「Context Hubのデータ ソースの構成」を参照してください。
管理者Context Hubの設定の構成。Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」を参照してください。

関連トピック

[コンテキスト ルックアップ]パネルに表示されるコンテキスト情報

[コンテキスト ルックアップ]パネルに表示されるコンテキスト情報やクエリの結果は、選択したエンティティと関連するデータ ソースに依存します。

[コンテキスト ルックアップ]パネルには、データ ソースごとに個別のタブがあります。[リスト]タブがコンテキスト パネルに最初に表示され、[Archer]、[Endpoint]、[インシデント]、[アラート]、[Live Connect]が続きます。

次の図は、[インシデントの詳細]ビューで選択したエンティティの[コンテキスト ルックアップ]パネルを示しています。[コンテキスト ルックアップ]パネルの[インシデント]タブが表示されています。
Context Lookup panel Incidents tab

次の表は、各タブおよびサポートされるエンティティで使用可能なデータを示しています。

                                                
タブ説明サポートされるエンティティ

Lists icon
(リスト)

選択したエンティティまたはメタ値に関連付けられているすべてのリストのデータを表示します。リストの最終更新日時によってソートされます。

すべてのエンティティ

Archer icon
(Archer)
Archerデータ ソースから、重要度評価と資産情報を表示します。IPとホスト

Active Directory icon
(Active Directory)

選択したユーザのすべてのユーザ情報を表示します。

ユーザ

NetWitness Endpoint icon
(NetWitness Endpoint)



マシン、モジュール、IIOCレベルを含む選択したエンティティまたはメタ値のNetWitness Endpointデータ ソースの情報を表示します。モジュールは最大IOCスコアから最小IIOCスコアの順にソートされ、IIOCレベルは最高IOCレベルから最低IOCレベルの順にソートされます。IP、MACアドレス、ホスト
Incidents icon
(インシデント)
選択したエンティティまたはメタ値に関連付けられているインシデントのリストを表示します。最新のインシデントから最も古いインシデントの順にソートされます。

すべてのエンティティ

Alerts icon
(アラート)
選択したエンティティまたはメタ値に関連付けられているアラートのリストを表示します。最新のアラートから最も古いアラートの順にソートされます。すべてのエンティティ
Live Connect icon
(Live Connect)
Live Connectから関連する情報を表示します。

IP、ドメイン、Filehash

リスト

[コンテキスト ルックアップ]パネルの[リスト]タブには、選択したエンティティまたはメタ値に関連する1つ以上のリストが表示されます。次の図は、[コンテキスト ルックアップ]パネルの[リスト]タブの例です。

Context Panel for Lists

リストについて次の情報が表示されます。

                                           
フィールド説明
名前リストの名前(リストの作成時に定義)。
説明リストの説明(リストの作成時に定義)。
作成者リストを作成したオーナー。
作成日時リストが作成された日付。
更新日リストが最後に更新または変更された日付。
件数選択したエンティティまたはメタ値が使用可能なリストの数。
タイム ウィンドウこれは[Respondの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、[リスト]のすべてのデータがフェッチされます。

最終更新

Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。

Archer

[コンテキスト ルックアップ]パネルの[Archer]タブには、IPおよびホストのエンティティとメタ値について、Archerデータ ソースから取得した重要度評価と資産情報が表示されます。次の図は、[コンテキスト ルックアップ]パネルの[Archer]タブの例です。
Context panel for Archer

Archerについて次の情報が表示されます。

                                                               
フィールド説明
重要度評価デバイスがサポートするアプリケーションに基づいて算出されたデバイスの業務上の重要度を表示します。重要度評価は、未評価、低、中-低、中、 中-高、高のいずれかに設定されます。
デバイスIDシステム内でデバイス レコードを一意に識別する、自動的に設定された値を表示します。
デバイス名デバイスの固有の名前を表示します。
デバイス管理責任者デバイスを担当し、レコードの読み取りおよび更新権限を持つデバイスの管理責任者を表示します。
ホスト名デバイスのホスト名を表示します。
施設このデバイスに関連する施設アプリケーション内のレコードへのリンクを提供します。
ビジネス ユニットこのデバイスに関連するビジネス ユニット アプリケーション内のレコードへのリンクを提供します。
リスク評価最新のアセスメント結果と、このデバイスを使用する施設の平均リスク評価から、デバイスのリスク評価を計算します。リスク評価は、重大、高、中、低、最低のいずれかに設定されます。
タイプサーバ、ノートパソコン、デスクトップなどのデバイス タイプを表示します。
IPアドレスデバイスのプライマリ内部IPアドレスを表示します。

件数

使用可能な資産の数を表示します。

タイム ウィンドウ

これは[Respondの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、Archerのすべてのデータを取得します。

最終更新 Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。
  

Active Directory

次の図は、[Active Directory]の[コンテキスト]パネルの例です。

Context panel for Active Directory

Active Directoryの[コンテキスト ルックアップ]パネルには、ユーザのすべての関連情報、インシデント、アラートが表示されます。次の形式を使用して検索を実行できます。

  • userPrincipalName
  • Domain\UserName
  • sAMAccountName

マルチ ドメインまたはマルチ フォレストのユーザが存在する場合は、特定のユーザのすべての関連コンテキスト情報が表示されます。

Active Directoryについて次の情報が表示されます。

                                                                               
フィールド説明

表示名

特定のユーザの名前を表示します。

従業員ID

特定のユーザの従業員IDを表示します。

電話番号

特定のユーザの電話番号を表示します。

メール

特定のユーザのメールIDを表示します。

ADユーザID

組織内の特定のユーザの固有のIDを表示します。

役職

特定のユーザの役職を表示します。

マネージャ

マネージャの名前を表示します。

グループ

特定のユーザがメンバーであるグループのリストを表示します。

会社

特定のユーザが所属する会社の名前を表示します。

部門

特定のユーザが所属する組織内の部門名を表示します。

所在地

特定のユーザの所在地を表示します。

最終ログオン

グローバル カタログが定義されている場合にのみ、特定のユーザがシステムにログインした時刻を表示します。

最終ログオンのタイム スタンプ特定のユーザがシステムにログインした時刻を表示します。
識別名ユーザに割り当てられている固有の名前を表示します。
件数

ユーザの数を表示します。

タイム ウィンドウ

これは[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、Active Directoryのすべてのデータをフェッチします。

最終更新

Context Hubがルックアップ データを取得してキャッシュに保存した時刻。

  

NetWitness Endpoint

[コンテキスト ルックアップ]パネルの[NetWitness Endpoint]タブには以下の情報が表示されます。

Context panel for NetWitness Endpoint

IIOCについて次の情報が表示されます。

                                           
フィールド説明
モジュール数検索されたモジュール数を表示します。
管理ステータス管理ステータスを表示します(ある場合)。
最終更新データが最後に更新された時刻を表示します。
最終ログインユーザが最後にログインした時刻を表示します。
MACアドレスマシンのMACアドレス。
オペレーティング システムNetWitness Endpointマシンで使用されるオペレーティング システムのバージョン。
マシン ステータス検索されたモジュールがオンライン、オフライン、アクティブ、非アクティブのいずれであるかを表示します。
IPアドレス特定のモジュールのIPアドレスを表示します。

モジュールについて次の情報が表示されます。

                               
フィールド説明
IIOCスコアマシンIIOCスコアは、モジュールのスコアに基づいて集計されたスコアです。これは、Context Hubのデータ ソース設定の[最小IIOCスコア]に設定された値に基づいています。[最小IIOCスコア]のデフォルト値は500です。「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」のトピックを参照してください。
モジュール名検索されたモジュールの名前。
解析スコア選択したマシンのアクティブなファイルの数。
マシン数 NetWitness Endpointデータベースでスキャン結果が最後に更新された時刻を示します。
署名ファイルが署名されているかどうかと、有効か無効かを示し、GoogleやAppleなどの署名情報を提供します。

マシンについて次の情報が表示されます。

                                   
フィールド説明

IOCレベル

IOCレベルを表示します。

説明使用可能な場合に、IOCレベルの説明を表示します。
前回の実行 アクションが実行された時刻を表示します。

件数

検索されたホスト数を表示します。

タイム ウィンドウこれは[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、NetWitness Endpointのすべてのデータを取得します。
最終更新NetWitness Endpointデータベースでスキャン結果が最後に更新された時刻を示します。

アラート

次の図は、最初に時間(新しい順)次に重大度に基づいて表示された[アラート]の[コンテキスト]パネルの例です。

Context panel for Alerts

[コンテキスト ルックアップ]パネルの[アラート]タブには以下の情報が表示されます。

                                               
フィールド説明
作成日時アラートが作成された日時。
重大度アラートの重大度の値
名前アラートの名前。名前をクリックすると特定のアラートの詳細が表示されます。
ソースアラートをトリガーしたアラート ソースの名前。
イベント数アラートに関連するイベントの数。
インシデントIDアラートが関連づけられているインシデントのIDです(該当する場合)。IDをクリックすると特定のインシデントの詳細が表示されます。

件数

アラートの数を表示します。デフォルトでは、最初の100件のアラートのみが表示されます。設定の構成方法の詳細については、「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」のトピックを参照してください。

タイム ウィンドウ

これは[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、過去7日間のアラート データを取得します。

最終更新データ ソースからコンテキスト データを最後に取得した時刻を示します。

インシデント

次の図は、最初に時間(新しい順)次に優先度のステータスに基づいた[コンテキスト ルックアップ]パネルの[インシデント]タブの例です。

Context panel for Incidents

[コンテキスト ルックアップ]パネルの[インシデント]タブには以下の情報が表示されます。

                                                       
フィールド説明
作成日時インシデントが作成された日付
優先度インシデントの優先度のステータス
リスク スコアインシデントのリスク スコア
IDインシデントのインシデントID。クリックするとインシデントの詳細が表示されます
名前インシデント名
ステータスインシデントのステータス
割り当て先インシデントの現在のオーナー
アラートインシデントに関連するアラートの数

件数

インシデントの数を表示します。デフォルトでは、最初の100件のアラートのみが表示されます。設定の構成方法の詳細については、「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」のトピックを参照してください。

タイム ウィンドウ

これは[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、過去7日間のインシデント データを取得します。

最終更新データ ソースからコンテキスト データを最後に取得した時刻を示します。

Live Connect

次の図は、[コンテキスト ルックアップ]パネルの[Live Connect]タブの例です。

Context panel for Live Connect

[コンテキスト ルックアップ]パネルの[Live Connect]タブには次の情報が表示されます。

  • レビュー ステータス
  • Live Connectリスク評価
  • リスク インジケータ
  • コミュニティ アクティビティ
  • WHOIS

  • 関連するファイル、ドメイン、IP

  • ID

  • 証明書情報

[コンテキスト ルックアップ]パネルの[Live Connect]タブには以下の情報が表示されます。

                                                       
フィールド説明
レビュー ステータス

選択したLive Connectエンティティ(IP、ファイル、ドメイン)をアナリストがレビューしたステータスを表示します。これにより、組織内で、アナリストのアクティビティの可視性が高まります。

ステータス
ステータスのタイプを以下に示します。

  • 新規: IPアドレスのルックアップの結果が組織内で最初に表示された場合。
  • 表示済み: 組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みの場合。
  • 安全と判定: 組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みで安全と判定している場合。
  • 高リスクと判定: 組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みで高リスクと判定している場合。
リスク評価

Live Connectの分析とアナリスト フィードバックに基づく、選択したLive Connectエンティティ(IP、ファイル、ドメイン)のリスク評価を表示します。リスク評価のカテゴリは次のとおりです。

  • 安全: Live Connectエンティティは、安全であると見なされています。
  • 不明: Live Connectには、このエンティティのリスクを計算するための十分な情報がありません。
  • 高リスク:コミュニティによる分析とリスクの理由に基づいて「高リスク」と判定されています。「高リスク」と判定されたエンティティは、直ちに注意を要します。
  • 疑わしい:コミュニティによる分析とリスクの理由に基づいて「疑わしい」と判定されています。分析は、アクションを必要とする脅威となる可能性のあるアクティビティを示しています。
  • 危険: コミュニティによる分析とリスクの理由に基づいて「疑わしい」と判定されています。
高リスク、疑わしい、危険と評価されたエンティティには、適宜関連するリスクの理由が表示されます。
リスク評価のフィードバック

リスク評価のフィードバックにより、アナリストはエンティティに関する脅威インテリジェンスのフィードバックをLive Connectサーバに送信できます。

  • アナリスト スキル レベル
    アナリスト スキル レベルのオプションを以下に示します。
    • 第1層:このレベルのアナリストは一般的な改善のための処理手順を定義し、SOC(セキュリティ オペレーション センター)の他の領域にインシデントをエスカレーションする必要があるかどうかを判断します。これがデフォルト値です。
    • 第2層:アナリストはインシデントを調査し、インテリジェンスを収集し、SOC内のさまざまなワークフローにフィードバックします。
    • 第3層:調査結果をSOC組織と共有するアナリストです。一般的にインシデントを管理し、インシデント対応に必要なスキルとツールに関する幅広く深い知識があります。

    注: NetWitness Suiteの新しいユーザ(アナリスト)を作成するときに、管理者はユーザの階層(第1層、第2層、第3層)を指定する必要があります。

  • リスクの確認:選択したLive Connectエンティティ(IP、ファイル、ドメイン)のリスクを確認します。リスクの確認のカテゴリは次のとおりです。
    • 安全:Live Connectエンティティは、安全であると見なされています。

    • 不明:リスクの確認を行うために十分な情報がアナリストにありません

    • 高リスク:コミュニティによる分析とリスクの理由に基づいて「高リスク」と判定します。「高リスク」と判定されたエンティティは、直ちに注意を要します。
    • 疑わしい:コミュニティによる分析とリスクの理由に基づいて「疑わしい」と判定します。分析は、アクションを必要とする脅威となる可能性のあるアクティビティを示しています。
    • 危険:コミュニティによる分析とリスクの理由に基づいて「危険」と判定します。
  • 信頼度レベル:Live Connectエンティティのフィードバックに対するアナリストの信頼度レベルです。信頼度レベルのカテゴリは次のとおりです。
  • リスク指標タグ:分析に基づいてタグ カテゴリを選択できます。

Risk Feedback panel

コミュニティ アクティビティ

コミュニティ アクティビティについて次の情報が表示されます。

  • コミュニティで最初に表示された日付。
  • IP/ファイル/ドメインが最初に表示された時間からの経過時間(現在の時間-初めて表示された時間)。

コミュニティ アクティビティのトレンドが表示されます。

RSAコミュニティの既知のIPアドレスである場合は、次のようなコミュニティ アクティビティのトレンドがグラフィカル表示されます。

  • 所定の期間にLive ConnectコミュニティでIPアドレスを閲覧したユーザの割合(%)。
  • IPアドレスに関するフィードバックを送信したユーザの割合(%)。
  • 所定の期間にIPアドレスを危険と判定したユーザの割合(%)。

リスク インジケータ

リスク インジケータは、コミュニティによってエンティティ(IPアドレス、ファイル、ドメイン)に割り当てられたタグをハイライト表示します。
Risk Indicators

タグは、次のように分類されます。

  • 偵察
  • 配送
  • コマンド&コントロール
  • ラテラル ムーブメント
  • 特権のエスカレーション
  • パッケージと盗難

これらのタグはサンプルであり、Live Connectサーバがコミュニティから受信した入力によって異なります。

アナリストは、レビューのフィードバックを提供する時に、適切なリスク指標タグを選択できます。

ハイライト表示されたタグは、選択したエンティティがその特定のカテゴリとタグに関連づけられていることを示します。ハイライト表示されているタグをクリックすると、タグの説明が表示されます。

ID

選択したエンティティまたはメタ値の次の識別情報を提供します。

IPアドレスの場合:

  • ASN(Autonomous System Number)
  • プレフィックス
  • 国コードと国名
  • 登録者(組織)
  • 日付

ファイル ハッシュの場合:

  • ファイル名
  • ファイル サイズ
  • MD5
  • SH1
  • SH256
  • コンパイル時間
  • MIMEタイプ

ドメインの場合:

  • ドメイン名
  • 関連づけられているIPアドレス
証明書情報

選択したファイル ハッシュの次の証明書情報を示します。

  • 証明書の発行者
  • 証明書の妥当性
  • 署名アルゴリズム
  • 証明書のシリアル番号
WHO IS情報

WHO IS情報は、特定のドメインの所有権の詳細を提供します。

WHOIS Information

ドメイン所有者の次の情報が表示されます。

  • 作成日
  • 更新日
  • 失効日
  • タイプ(登録タイプ)
  • 名前
  • 組織
  • 郵便番号とアドレス
  • 電話番号
  • Fax
  • メール
関連ファイル

関連ファイルはエンティティ タイプがIPおよびドメインの場合に表示されます。既知の関連するファイルのリストが、次の情報とともに表示されます。

  • Live Connectのリスク評価(安全、高リスク、不明)
  • ファイル名
  • MD5
  • コンパイル時刻と日付
  • API関数インポート ハッシュ
  • MIMEタイプ

関連ドメイン

関連ドメインはエンティティ タイプがIPおよびファイルの場合に表示されます。既知の関連するドメインのリストが、次の情報とともに表示されます。

  • Live Connectのリスク評価(安全、高リスク、不明)
  • ドメイン名
  • 国名
  • 登録日
  • 失効日
  • 登録者のメール アドレス
関連IP

関連IPはエンティティ タイプがドメインおよびファイルの場合に表示されます。既知の関連するIPのリストが、次の情報とともに表示されます。

  • Live Connectのリスク評価(安全、高リスク、不明)
  • IPアドレス
  • ドメイン名
  • 国コードと国名
  • 国名
  • 登録日
  • 失効日
  • 登録者のメール アドレス
  
You are here
NetWitness Respondに関する参考情報 > [コンテキスト ルックアップ]パネル

Attachments

    Outcomes