NW:NetWitness Suiteの基本的なナビゲーション

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 4Show Document
  • View in full screen mode
 

NetWitness Suiteアプリケーションは、代表的なSOC(セキュリティ オペレーション センター)のロールをもとに構成され、ビューと呼ばれる5つの主な機能領域に分かれています。

This image shows the NetWitness Suite log in dialog and the five top-level menu items: Respond, Investigate, Monitor, Configure, and Admin.

  • 対応:このビューはインシデント対応者が使用します。優先度付けされたインシデントのリストが表示され、優先度に応じて対応することができます。これらのインシデントは、ESAルール、NetWitness Endpoint、自動脅威検出を行うESA Analyticsモジュールから生成されます。NetWitness Suiteが受け取ったすべてのアラートをここで表示することもできます。
    10.6では、このビューは[インシデント管理]ビューと呼ばれていました。ESA 10.6の[アラート]>[サマリ]ビューが、[対応]>[アラート リスト]ビューに置き換わりました。
  • 調査:このビューは主に、NetWitness Suiteのメタデータ、RAWイベント データ、イベント再構成、イベント分析を使用して脅威を手動で見つけることを好む、高度な脅威ハンターが使用します。インシデント対応者も、このビューを使用して調査中のインシデントに関連するイベントの詳細を取得します。脅威ハンターとインシデント対応者の両方が、このビューでフォレンジック イベント再構築とイベント分析の機能を使用できます。
  • 監視:このビューはすべてのユーザが使用します。ユーザ権限に応じて、関心のあるさまざまな領域に関するダッシュボードとレポートを表示できます。NetWitness Suiteは、デフォルトではこのビューを開きます。
    このビューは、10.6の[ダッシュボード]ビューに相当します。
  • 構成:このビューは、NetWitness Suiteのデータ ソースと入力データを構成する、脅威インテリジェンス(コンテンツ)担当者が使用します。脅威インテリジェンス担当者は、このビューを使用してLiveコンテンツをダウンロードおよび管理します。インシデント ルールとESAルールを作成および管理することもできます。
    このビューは、10.6の[Live]、[インシデント]>[構成]、[アラート]>[構成]に相当します。
  • 管理:このビューは、アプリケーション全体をセットアップして管理する、システム管理者が使用します。
    このビューは、[構成]ビューに追加されたセクションを除いた10.6の[Administration]ビューに相当します。

メイン ビューへのアクセス

各メイン ビューを開くオプションがブラウザ ウィンドウの上部に表示されます。権限がある場合は、ブラウザ ウィンドウの上部にあるメニューからこれらのビューにいつでもアクセスできます。

This figure shows the NetWitness Suite main menu.

セカンダリ メニュー

一部のビューには、追加のビューを選択するためのセカンダリ メニューがあります。セカンダリ メニューは、ユーザが実行できるタスクによって異なります。次の例は、[監視]メニューを示しています。

This figure shows the Monitor menu as an example of a secondary menu.

追加オプション

メイン ビューに加えて、アプリケーション全体に共通する追加のオプションがブラウザ ウィンドウの上部に表示されます。


This figure shows the common options available from a classic view. They are Notifications, Preferences, and Help.

次の表に、これらの共通のオプションの説明を示します。

                                      
共通のオプション名前説明

Jobs icon

ジョブ

ジョブ トレイのジョブを表示および管理するには、[調査]、[監視]、[構成]、[管理]ビューでこのアイコンをクリックします。ジョブとは、NetWitness Suiteアプリケーションで完了するまでに時間がかかる、オン デマンドのタスクまたはスケジュール設定されたタスクです。

Notifications icon 通知このアイコンをクリックすると、アプリケーションからの通知が表示されます。
User Preferences icon showing username ユーザ環境設定このアイコンをクリックすると、選択可能なユーザ環境設定オプションが表示されます。ユーザ環境設定の管理と、NetWitness Suiteからのログアウトを行うことができます。
User Profile menu options (Classic views only) ユーザ プロファイルユーザ プロファイルをクリックすると、選択可能なオプションが表示されます。ユーザ環境設定の管理、パスワードの変更、NetWitness Suiteからのログアウトを行うことができます。
Help icon ヘルプこのアイコンをクリックすると、NetWitness Suiteのヘルプ トピックが表示されます。

メイン ビュー

次のセクションでは、メイン ビューについて説明します。

監視

[監視]ビューには、NetWitness Suiteダッシュボードが表示されます。[監視]ビューには、事前構成済みのダッシュボードとレポートが用意されています。また、独自に作成することもできます。

This figure shows an example Monitor view showing the default dashboard.

監視メニュー

This figure shows the Monitor secondary menu: Overview, Reports, and Alerts.

監視メニューには、次のオプションがあります。

  • 概要:[概要]ビューでは、ダッシュボードを表示および管理できます。次の事前構成済みダッシュボードを選択できます。
    • デフォルト
    • Identity
    • Investigation
    • Operations - File Analysis
    • Operations - Logs
    • Operations - Network
    • Operations - Protocol Analysis
    • Overview
    • RSA SecurID
    • Threat - Hunting
    • Threat - Intrusion
    • Threat - Malware Indicators

    10.6の、[ダッシュボード]ビューに相当します。

  • レポート:[レポート]ビューでは、割り当てられた権限に従って、SOCロールに関連するレポートを表示および管理できます。
                                      
実行できることパス手順
ダッシュボードの選択

[監視]>[概要]

ダッシュボードの管理」を参照。

ダッシュボードの作成[監視]>[概要]

ダッシュボードの管理」を参照。

ダッシュボードの管理

[監視]>[概要]

ダッシュボードの管理」を参照。

レポートの表示[監視]>[レポート]>[表示]レポート ガイド」を参照。

レポートの管理

[監視]>[レポート]>[管理]

レポート ガイド」を参照。

対応

[対応]ビューには、アナリストに優先度順にソートされたインシデントのキューが表示されます。アナリストが、キューのインシデントを担当すると、インシデントの調査に役立つ関連データにアクセスできるようになります。そのデータからインシデントの影響範囲を判断し、必要に応じてエスカレーションまたは改善することができます。

対応メニュー

Respond Menu

対応メニューには、次のオプションがあります。

  • インシデント:[インシデント リスト]ビューには、すべてのインシデントの基本情報のリストが表示されます。[インシデントの詳細]ビューには、インシデントに関する詳細が表示されます。
  • アラート:[アラート リスト]ビューと[アラートの詳細]ビューには、NetWitness Suiteが1つの場所で受信したすべての脅威アラートとインジケータに関する情報が表示されます。
  • タスク:[タスク リスト]ビューでは、タスクの作成から完了までを追跡することができます。

次の図は、[対応]ビューの[インシデント リスト]ビューを示しています。

Respond view - Incident Details view

次の図は、[対応]ビューの[インシデントの詳細]ビューの例を示しています。

Respond view - Incident Details view

ケース管理ツールとしてNetWitness Suiteを使用する場合は、このビューからインシデントをケース管理することもできます。インシデント キューには、新しいインシデントが優先度の高いものから順に上から表示され、対応中のインシデントは新しいインシデントよりも下に表示されます。

次の図は、[対応]ビューのワークフローの概要を示しています。

This diagram shows a high-level Respond view workflow.

[対応]ビューでは、アナリストが優先度付けされたインシデントのリストを確認し、どのインシデントに対応が必要かを判断します。アナリストは特定のインシデントをクリックして、関連する詳細情報を元にそのインシデントの全体像を明確に把握し、インシデントをさらに調査することができます。その後、アナリストは脅威への対応方法として、エスカレーションするかまたは改善するかを判断できます。

                                      
実行できることパス手順

優先度付けされたインシデント リストの表示

[対応]>[インシデント]([インシデント リスト]ビュー)

NetWitness Respondユーザ ガイド」を参照。

アクションが必要なインシデントの判断
(インシデントの選別)

[対応]>[インシデント]([インシデントの詳細]ビュー)

NetWitness Respondユーザ ガイド」を参照。

インシデントの調査

[対応]>[インシデント]([インシデントの詳細]ビュー)

NetWitness Respondユーザ ガイド」を参照。([調査]ビューに移行することもできます。)

インシデントのエスカレーションまたは改善[対応]>[インシデント]([インシデントの詳細]ビュー)および[対応]>[タスク]([タスク リスト]ビュー)NetWitness Respondユーザ ガイド」を参照。

アラートのレビュー

[対応]>[アラート]([アラート リスト]ビューおよび[アラートの詳細]ビュー)

NetWitness Respondユーザ ガイド」を参照。

調査

[調査]ビューでは、1つのデータセットに対して6つの異なるビューが提供され、アナリストはメタデータ、エンドポイント データ、ログ、イベント、潜在的なセキュリティ侵害インジケータを表示できます。特定のサービスを選択してデータを調査する他に、[対応]ビュー、[監視]ビュー、Reporting Engineによって生成されたレポート内のエントリー、または適切に構成されたサード パーティ製アプリケーションから調査に移行できます。6種類の[調査]ビューのいずれかで調査を開始し、別の[調査]ビューで調査を継続できます。進め方は、調査の対象に応じて異なります。対応が必要なイベントが見つかった場合は、インシデントを作成し、インシデント対応者が[対応]ビューで以降のアクションを実行します。詳細については、「NetWitness Investigateユーザ ガイド」を参照してください。

調査メニュー

Investigate submenus

調査メニューには、次のオプションがあります。

  • ナビゲート:[ナビゲート] ビューでは、メタデータに重点が置かれ、メタ キーとメタ値の一覧が表示されます。データをドリル ダウンし、選択したイベントを[イベント]ビューまたは[イベント分析]ビューで開いたり、イベントの再構築を表示したり、イベントを検索したり、Context Hub サービスから追加のコンテキストを検索したり、[ナビゲート]ビューの環境設定を構成することができます。
  • イベント:[イベント]ビューには、rawデータに重点を置いたイベントの一覧が表示されます。シンプルなイベント リスト、詳細なリスト、ログ リストをブラウズできます。イベントを検索したり、選択したイベントを[イベント分析]ビューで開いたり、イベントの再構築を表示したり、イベント分析を実施したり、[イベント]ビューの環境設定を構成できます。
  • イベント分析:[イベント分析]ビューには、メタデータとrawデータに重点を置いたイベントの一覧が表示されます。再構築により注目点の特定に役立つヒントを表示したり、[ホスト]ビューにジャンプしたり、スタンドアロンのEndpointに移行したり、Liveで検索したり、外部ルックアップを実行することができます。
  • [ホスト]ビュー:(バージョン11.1以降)[ホスト]ビューには、NetWitness Endpoint Insightsのエージェントが実行されているすべてのホストの一覧が表示されます。ホストごとに、プロセス、ドライバ、DLL、ファイル(実行可能ファイル)、サービス、実行中のAutorun、ログイン ユーザに関連した情報を表示できます。[ホスト]ビューから、[ナビゲート]ビューと[イベント分析]ビューに移動することができます。
  • [ファイル]ビュー:(バージョン11.1以降)[ファイル]ビューには、導入環境で見つかったすべての固有のファイルとそれらの関連プロパティが一覧表示されます。ファイルごとに、ファイル サイズ、エントロピー、形式、会社名、署名、チェックサムなどの詳細を表示できます。[ファイル]ビューから、[ナビゲート]ビューと[イベント分析]ビューに移動することができます。
  • Malware Analysis:Malware Analysisは、自動化されたマルウェア解析ツールです。特定の種類のファイル オブジェクト(Windows PE、PDF、MS Officeなど)を解析し、悪意のあるファイルである可能性を評価できるように設計されています。Malware Analysisを使用することによって、収集された大量のファイルに優先度を付け、悪意のあるファイルである可能性が最も高いファイルから解析作業を実行できます。 

次の図は、[調査]ビューの[ナビゲート]ビューを示しています。

Navigate view

次の図は、[調査]ビューの[イベント分析]ビューを示しています。

Investigate > Event Analysis view

次の図は、[ホスト]ビューの[ホストの詳細]ビューを示しています。

Investigate - Hosts view Hosts Details view

次の図は、Malware Analysisの[イベントのサマリ]を示しています。

the Malware Analysis Summary of Events

次の図は、[調査]ビューの概要レベルのワークフローを示しています。

High-Level Investigate Workflow

                                           
実行できることパス手順
イベント メタデータの参照[ナビゲート]ビューNetWitness Investigateユーザ ガイド」の「[ナビゲート]ビューでのメタデータの調査」を参照。
RAWイベントの参照[イベント]ビュー

NetWitness Investigateユーザ ガイド」の「[イベント]ビューでのRAWイベントの調査」を参照。

RAWイベントとメタデータの分析

[イベント分析]ビューNetWitness Investigateユーザ ガイド」の「[イベント分析]ビューでのメタデータとRAWイベントの調査」を参照。

エンドポイントの調査

[ホスト]ビュー

NetWitness Investigateユーザ ガイド」の「ホストとファイルの調査」を参照。

不審なエンドポイント ファイルを探す[ファイル]ビューNetWitness Investigateユーザ ガイド」の「ホストとファイルの調査」を参照。

ファイルとイベントをスキャンしてマルウェアを探す

[Malware Analysis]ビュー

NetWitness Investigateユーザ ガイド」の「Malware Analysisの実施」を参照。

構成

[構成]ビューでは、脅威インテリジェンス(コンテンツ)担当者がNetWitness Suiteのデータ ソースと入力データを1つの場所で効率的に構成できます。

構成メニュー

This figure shows the Configure secondary menu: Live Content, Incident Rules, ESA Rules, Subscriptions, and Custom Feeds.

構成メニューには、次のオプションがあります。

  • Liveコンテンツ:(Liveサービス)[Liveコンテンツ]ビューでは、Liveサービスリソースの検索とサブスクライブができます。Liveサービスは、NetWitness SuiteサービスとRSA NetWitness Suiteのお客様が使用可能なLiveコンテンツ ライブラリの間の通信と同期を管理する、NetWitness Suiteのコンポーネントです。RSA Live CMS(Content Management System)のコンテンツを表示、検索、サブスクライブし、NetWitness Suiteのサービスとソフトウェアに導入することができます。リソースをサブスクライブすると、RSA Liveサービスから更新を定期的に受信することに同意したことになります。
    10.6では、[Live]>[検索]に相当します。
  • インシデント ルール:[インシデント ルール]ビューでは、インシデントを自動的に作成するために、さまざまな条件でインシデント ルールを作成することができます。優先度付けされたインシデントを[対応]ビューで表示できます。
    10.6では、[インシデント]>[構成]に相当します。11.1 以降では、統合ルールはインシデント ルールと呼ばれます。
  • 対応の通知:[対応の通知]ビューでは、SOCマネージャや、インシデントに割り当てられたアナリストに対して、インシデントが作成または更新されたときに自動的にメール通知を送信することができます。
  • ESAルール:[ESAルール]ビューでは、ネットワーク内の問題のある動作や脅威と考えられるイベントを特定するためのESA(Event Stream Analysis)を管理することができます。ESAは、ルールの条件に一致する脅威を検出するとアラートを生成します。
    自分でESAルールを作成するか、Liveサービスからダウンロードすることができます。ルール ライブラリには、作成またはダウンロードされたすべてのESAルールが表示されます。ルールを有効にするには、ルールを導入環境に追加する必要があります。導入環境により、ルール ライブラリのルールを適切なESAサービスに割り当てます。
    10.6では、[アラート]>[構成]に相当します。
  • サブスクリプション:(Liveサービス)[サブスクリプション]ビューでは、[Liveコンテンツ]ビューでサブスクライブしたLiveコンテンツを管理できます。NetWitness SuiteでLiveサービスを設定するには、CMSサーバとNetWitness Suiteとの間の接続と同期を構成します。
    10.6では、[Live]>[構成]に相当します。
  • カスタムFeed:(Liveサービス)[カスタムFeed]ビューでは、カスタムFeedの作成と管理のタスクを効率的に実行できます。選択したDecoderとLog DecoderにFeedのデータを入力することもできます。カスタムFeedとIdentity Feedを設定して管理することができます。
    NetWitness Suiteは外部定義のメタデータ値に基づいてメタデータを作成するために、Feedを使用します。Feedは、収集または処理されるセッションと比較されるデータのリストです。Feedの内容と一致するセッションには、追加のメタデータが作成されます。
    たとえば、カスタム ネットワーク アプリケーションに対応するために、カスタムFeedを作成して追加のメタデータ抽出を行うことができます。
    10.6では、[Live]>[Feed]に相当します。
                                                
実行できることパス手順

Liveサービスアカウントの作成。

RSA Live登録ポータル:
https://cms.netwitness.com/registration/

Liveサービス管理ガイド」を参照。

Liveサービスリソースの検索と導入。[構成]>[Liveコンテンツ]Liveサービス管理ガイド」を参照。
インシデントの自動作成。[構成]>[インシデント ルール]

NetWitness Respond構成ガイド」を参照。

対応の通知の構成。[構成]>[対応の通知]NetWitness Respond構成ガイド」を参照。

アラートの構成。

[構成]>[ESAルール]

ESA相関ルールを使用したアラート ユーザ ガイド」を参照。
NetWitness SuiteでのLiveサービスの設定[構成]>[サブスクリプション]

Liveサービス管理ガイド」を参照。

カスタムFeedおよびIdentity Feedの設定および管理。[構成]>[カスタムFeed]Liveサービス管理ガイド」を参照。

管理

[管理]ビューで、管理者はネットワーク ホストおよびサービスの管理、NetWitness Suiteのヘルスモニタの監視、システム レベルのセキュリティの管理を行うことができます。また、グローバル システム リソースを構成し、イベント ソースを管理することもできます。

管理メニュー

This figure shows the Admin secondary menu: Hosts, Services, Event Sources, Health & Wellness, System, and Security.

管理メニューには、次のオプションがあります。

  • ホスト:[ホスト]ビューでは、ホストを設定および管理します。ホストは、サービスが実行されるマシンであり、物理マシンであることも、仮想マシンであることもあります。
  • サービス:[サービス]ビューでは、サービスの管理、サービスのユーザとロールの管理、サービス構成ファイルの管理、サービスのプロパティの確認と編集を行うことができます。サービスは、ネットワーク データをパケット形式で収集するDecoderサービスのように、固有の機能を実行します。
  • イベント ソース:[イベント ソース]ビューでは、イベント ソースの管理と、イベント ソースのアラート ポリシーの構成を行うことができます。イベント ソースは、通常、重要度によってグループ分けして監視します。イベント ソース グループごとに監視ポリシーを作成し、優先度を設定することができます。
  • ヘルスモニタ:[ヘルスモニタ]ビューでは、ネットワーク環境内のNetWitness Suiteホストおよびサービスの状態を監視することができます。
  • システム:[システム]ビューでは、NetWitness Suiteのグローバル構成を設定できます。グローバル監査ログ、メール、システム ログ、ジョブ、RSA Liveサービス、URL統合、調査、ESA(Event Stream Analysis)、ESA Analytics、高度なパフォーマンス設定を構成できます。また、NetWitness Suiteのバージョン管理、ローカル ライセンス サーバの構成なども実行できます。
  • セキュリティ:[管理]の[セキュリティ]ビューでは、ユーザ アカウントの管理、ユーザ ロールの管理、NetWitness Suiteロールへの外部グループのマッピング、その他のセキュリティ関連のシステム パラメータの変更などを実行できます。これらの設定はNetWitness Suiteシステムに適用され、個々のサービスのセキュリティ設定とあわせて使用されます。
                                                               
実行できることパス手順

ホストの管理。

[管理]>[ホスト]

ホストおよびサービス スタート ガイド」を参照。

サービスのユーザ アクセスおよびセキュリティの管理を含む、サービスの管理。

[管理]>[サービス]

ホストおよびサービス スタート ガイド」を参照。

イベント ソースの管理およびイベント ソースのアラート ポリシーの構成。

[管理]>[イベント ソース]

イベント ソース管理ガイド」を参照。

NetWitness Suiteドメイン内のホストおよびサービスの、アラームの設定および監視。

[管理]>[ヘルスモニタ]>[アラーム]

システム メンテナンス ガイド」を参照。

NetWitness Suiteホストおよびホストで実行されているサービスの統計の監視。

[管理]>[ヘルスモニタ]>[監視]

システム メンテナンス ガイド」を参照。

ポリシーを作成してホストとサービスに適用し、NetWitness Suiteドメインの正常稼働状態の監視を支援。[管理]>[ヘルスモニタ]>[ポリシー]

システム メンテナンス ガイド」を参照。

NetWitness Suiteのグローバル構成の設定。

[管理]>[システム]

システム構成ガイド」を参照。

グローバル監査ログの構成。[管理]>[システム]>[グローバル監査]

システム構成ガイド」を参照。

システム セキュリティの設定。[管理]>[セキュリティ]

システム セキュリティとユーザ管理ガイド」を参照。

ロールと権限によるシステム ユーザの管理。

[管理]>[セキュリティ]

システム セキュリティとユーザ管理ガイド」を参照。

Previous Topic:ロールの特定
You are here
Table of Contents > NetWitness Suiteの基本ナビゲーション

Attachments

    Outcomes