NW:NetWitness Platformの基本ナビゲーション

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on Jun 28, 2019
Version 6Show Document
  • View in full screen mode
 

RSA NetWitness® Platformアプリケーションは、代表的なSOC(セキュリティ オペレーション センター)のロールをもとに構成され、ビューと呼ばれる5つの主な機能領域に分かれています。

This image shows the NetWitness Platform log in dialog and the five top-level menu items: Respond, Investigate, Monitor, Configure, and Admin.

  • 対応:このビューはインシデント対応者が使用します。優先度付けされたインシデントのリストが表示され、優先度に応じて対応することができます。これらのインシデントは、ESAルール、NetWitness Endpoint、自動脅威検出を行うESA Analyticsモジュールから生成されます。NetWitness Platformが受け取ったすべてのアラートをここに表示することもできます。
    10.6では、このビューは[インシデント管理]ビューと呼ばれていました。ESA 10.6の[アラート]>[サマリ]ビューが、[対応]>[アラート リスト]ビューに置き換わりました。
  • 調査:このビューは主に、NetWitness Platformのメタデータ、RAWイベント データ、イベント再構築、イベント分析を使用して脅威を手動で見つけることを好む、高度な脅威ハンターが使用します。インシデント対応者も、このビューを使用して調査中のインシデントに関連するイベントの詳細を取得します。脅威ハンターとインシデント対応者の両方が、このビューでフォレンジック イベント再構築とイベント分析の機能を使用できます。
  • 監視:このビューはすべてのユーザが使用します。ユーザ権限に応じて、関心のあるさまざまな領域に関するダッシュボードとレポートを表示できます。NetWitness Platformは、デフォルトでこのビューを開きます。
    このビューは、10.6の[ダッシュボード]ビューに相当します。
  • 構成:このビューは、NetWitness Platformのデータ ソースと入力データを構成する、脅威インテリジェンス担当者(コンテンツ エキスパート)が使用します。コンテンツ エキスパートは、この領域を使用してLiveコンテンツをダウンロードおよび管理します。インシデントとESAルールを作成および管理することもできます。
    このビューは、10.6の[Live]、[インシデント]>[構成]、[アラート]>[構成]に相当します。
  • 管理:このビューは、アプリケーション全体をセットアップして管理する、システム管理者が使用します。
    このビューは、[構成]ビューに追加されたセクションを除いた10.6の[Administration]ビューに相当します。

メイン ビューへのアクセス

各メイン ビューを開くオプションがブラウザ ウィンドウの上部に表示されます。権限がある場合は、ブラウザ ウィンドウの上部にあるメニューからこれらのビューにいつでもアクセスできます。

This figure shows the NetWitness Platform main menu

セカンダリ メニュー

一部のビューには、追加のビューを選択するためのセカンダリ メニューがあります。セカンダリ メニューは、ユーザが実行できるタスクによって異なります。次の例は、[監視]メニューを示しています。

This figure shows the Monitor menu as an example of a secondary menu.

追加オプション

メイン ビューに加えて、アプリケーション全体に共通する追加のオプションがブラウザ ウィンドウの上部に表示されます。


This figure shows the common options available from a classic view. They are Notifications, Preferences, and Help.

次の表に、これらの共通のオプションの説明を示します。

                                      
共通のオプション名前説明

Jobs icon

ジョブジョブ トレイのジョブを表示および管理するには、[調査]、[監視]、[構成]、[管理]ビューでこのアイコンをクリックします。ジョブとは、NetWitness Platformアプリケーションで完了するまでに時間がかかる、オン デマンドのタスクまたはスケジュール設定されたタスクです。
Notifications icon 通知このアイコンをクリックすると、アプリケーションからの通知が表示されます。
User Preferences icon showing username ユーザ環境設定このアイコンをクリックすると、選択可能なユーザ環境設定オプションが表示されます。ユーザ環境設定の管理と、NetWitness Platformからのログアウトを行うことができます。
User Profile menu options プロファイルプロファイルをクリックすると、選択可能なオプションが表示されます。ユーザ環境設定の管理、パスワードの変更、NetWitness Platformからのログアウトを行うことができます。
Help icon ヘルプこのアイコンをクリックすると、NetWitness Platformのヘルプ トピックが表示されます。

メイン ビュー

次のセクションでは、メイン ビューについて説明します。

監視

[監視]ビューには、NetWitness Platformダッシュボードが表示されます。[監視]ビューには、標準提供のダッシュボードとレポートが用意されています。また、独自に作成することもできます。

This figure shows an example Monitor view showing the default dashboard.

監視メニュー

This figure shows the Monitor secondary menu: Overview, Reports, and Alerts.

監視メニューには、次のオプションがあります。

  • 概要:[概要]ビューでは、ダッシュボードを表示および管理できます。次の標準提供のダッシュボードを選択できます。
    • Default
    • Identity
    • Investigation
    • Operations - File Analysis
    • Operations - Logs
    • Operations - Network
    • Operations - Protocol Analysis
    • Overview
    • RSA SecurID
    • Threat - Hunting
    • Threat - Intrusion
    • Threat - Malware Indicators

    10.6の、[ダッシュボード]ビューに相当します。

  • レポート:[レポート]ビューでは、割り当てられた権限に従って、SOCロールに関連するレポートを表示および管理できます。
                                      
実行できることパス手順
ダッシュボードの選択[監視]>[概要]ダッシュボードの管理」を参照。
ダッシュボードの作成[監視]>[概要]ダッシュボードの管理」を参照。
ダッシュボードの管理[監視]>[概要]ダッシュボードの管理」を参照。
レポートの表示[監視]>[レポート]>[表示]レポート ユーザ ガイド』を参照。
レポートの管理[監視]>[レポート]>[管理]レポート ユーザ ガイド』を参照。

対応

[対応]ビューには、アナリスト向けに優先度順にソートされたインシデントのキューが表示されます。アナリストが、キューのインシデントを担当すると、インシデントの調査に役立つ関連データにアクセスできるようになります。データからインシデントの影響範囲を判断し、必要に応じてエスカレーションまたは改善することができます。

対応メニュー

Respond Menu

対応メニューには、次のオプションがあります。

  • インシデント:[インシデント リスト]ビューには、すべてのインシデントの基本情報のリストが表示されます。[インシデントの詳細]ビューには、インシデントに関する詳細が表示されます。
  • アラート:[アラート リスト]ビューと[アラートの詳細]ビューには、NetWitness Platformが受信したすべての脅威アラートとインジケータに関する情報が1つの場所に表示されます。
  • タスク:[タスク リスト]ビューでは、タスクの作成から完了までを追跡することができます。

次の図は、[対応]ビューの[インシデント リスト]ビュー(優先度順に表示されたインシデントのリスト)を示しています。

Respond view - Incident List view

ケース管理ツールとしてNetWitness Platformを使用する場合は、このビューでインシデントのケースを管理することもできます。新しいインシデントは、インシデント キューの上部に表示されます。

次の図は、[対応]ビューの[インシデントの詳細]ビュー(選択したインシデントの詳細を表示)の例を示しています。

Respond view - Incident Details view

[対応]ビューは、インシデントの評価、データのコンテキストの把握、他のアナリストとのコラボレーション、必要な場合は詳細な調査への移行を簡単に行えるように設計されています。次の図は、[インシデントの詳細]ビューでのイベント分析の例です。

Respond view - Incident Details view - Event Analysis


次の図は、[対応]ビューのワークフローの概要を示しています。

This diagram shows a high-level Respond view workflow.

[対応]ビューでは、アナリストが優先度付けされたインシデントのリストを確認し、どのインシデントに対応が必要かを判断します。アナリストは特定のインシデントをクリックして、関連する詳細情報を元にそのインシデントの全体像を明確に把握し、インシデントをさらに調査することができます。その後、アナリストは脅威への対応方法として、エスカレーションするかまたは改善するかを判断できます。

                                      
実行できることパス手順
優先度付けされたインシデント リストの表示 [対応]>[インシデント]([インシデント リスト]ビュー)NetWitness Respondユーザ ガイド』を参照。
アクションが必要なインシデントの判断
(インシデントの選別)
[対応]>[インシデント]([インシデントの詳細]ビュー)Netwitness Respondユーザ ガイド」を参照。
インシデントの調査[対応]>[インシデント]([インシデントの詳細]ビュー)NetWitness Respondユーザ ガイド』を参照。([調査]ビューに移行することもできます。)
インシデントのエスカレーションまたは改善[対応]>[インシデント]([インシデントの詳細]ビュー)および[対応]>[タスク]([タスク リスト]ビュー)NetWitness Respondユーザ ガイド』を参照。
アラートのレビュー[対応]>[アラート]([アラート リスト]ビューおよび[アラートの詳細]ビュー)NetWitness Respondユーザ ガイド』を参照。

調査

[調査]ビューでは、1つのデータセットに対して7つの異なるビューが提供され、アナリストはメタデータ、rawデータ、エンドポイント、ログ、イベント、潜在的なセキュリティ侵害インジケータを表示できます。特定のサービスを選択してデータを調査する他に、[対応]ビュー、[監視]ビュー、Reporting Engineによって生成されたレポート内のエントリー、または適切に構成されたサード パーティ製アプリケーションから[調査]ビューに移行できます。7種類の[調査]ビューのいずれかで調査を開始し、別の[調査]ビューで調査を継続できます。進め方は、調査の対象に応じて異なります。対応が必要なイベントが見つかった場合は、インシデントを作成し、インシデント対応者が[対応]ビューで以降のアクションを実行します。詳細については、「NetWitness Investigateユーザ ガイド」を参照してください。

調査メニュー

Investigate submenus

調査メニューには、次のオプションがあります。

  • ナビゲート:[ナビゲート] ビューでは、メタデータに重点が置かれ、メタ キーとメタ値の一覧が表示されます。データをドリル ダウンし、選択したイベントを[イベント]ビューまたは[イベント分析]ビューで開いたり、イベントの再構築を表示したり、イベントを検索したり、Context Hub サービスから追加のコンテキストを検索したり、[ナビゲート]ビューの環境設定を構成することができます。
  • イベント:[イベント]ビューには、rawデータに重点を置いたイベントの一覧が表示されます。シンプルなイベント リスト、詳細なリスト、ログ リストをブラウズできます。イベントを検索し、選択したイベントを[イベント分析]ビューで開いたり、イベントの再構築を表示したり、Context Hubサービスから追加のコンテキストを検索したり、[イベント]ビューの環境設定を構成することができます。
  • イベント分析:[イベント分析]ビューには、メタデータとrawデータに重点を置いたイベントの一覧が表示されます。再構築を表示して、注目すべき点を特定するヒントを得たり、スタンドアロンのエンドポイントに移行したり、Context Hubサービス(バージョン11.2以降)から追加のコンテキストを検索したり、Liveで検索したり、外部ルックアップを実行することができます。
  • [ホスト]ビュー:(バージョン11.1以降)[ホスト]ビューには、NetWitness Endpointエージェントを実行するホストの一覧が表示されます。各ホストにいついて、スキャンの詳細、アラートに関連するイベントのトラッキング、異常、プロセスの詳細、ログイン ユーザに関連する情報を表示できます。[ホスト]ビューから、[ナビゲート]ビュー、[イベント分析]ビュー、および[ユーザ]ビューに移動することができます。
  • [ファイル]ビュー:(バージョン11.1 以降)[ファイル] ビューには、導入環境内のすべてのファイルが表示されます。さまざまなフィルタを適用したり、ソート順を指定したり、ステータス別に分類することにより、分析が必要なファイル数を減らし、疑わしいファイルや悪意のあるファイルを特定することができます。[ファイル]ビューから、[ナビゲート]ビューと[イベント分析]ビューに移動することができます。
  • [ユーザ]ビュー:(バージョン11.2以降)[ユーザ]ビューでは、RSA NetWitness UEBAを使用して、企業ネットワーク全体から高リスク ユーザの行動を可視化できます。導入環境内の高リスク ユーザのリストや、高リスクな行動により発生した上位アラートのサマリーを表示し、そこから、ユーザまたはアラートを選択して、高リスクな行動の詳細や、行動のタイムラインを確認することができます。
  • 注:[ユーザ]ビューは、管理者またはUEBAアナリストのロールが割り当てられている場合にのみ使用できます。

  • Malware Analysis:Malware Analysisは、特定の種類のファイル オブジェクト(Windows PE、PDF、MS Officeなど)を解析し、それらが悪意のあるファイルである可能性を評価するための自動化されたマルウェア解析ツールです。Malware Analysisを使用することによって、収集された大量のファイルに優先度を付け、悪意のあるファイルである可能性が最も高いファイルから解析作業を実行できます。 

次の図は、[ナビゲート]ビューです。

the Navigate view

次の図は、[イベント分析]ビューです。

the Event Analysis view

次の図は、[ホスト]ビューの[ホストの詳細]ビューです。

Investigate - Hosts view Hosts Details view

次の図は、[ユーザ]ビューです。

次の図は、[Malware Analysis]の[イベントのサマリ]ビューです。

the Malware Analysis view, Summary of Events

次の図の上のブロックは、各ビューで実施できる調査のタイプを示しています。下のブロックは、調査の一環として実行できるタスクを示しています。

the high-level workfow for Investigate

                                                          
実行できることパス手順
[調査]ビューおよび環境設定の構成[調査]ビューNetWitness Investigateユーザ ガイド』の「[調査]ビューおよび環境設定の構成」を参照。
イベント メタデータの表示[ナビゲート]ビューNetWitness Investigateユーザ ガイド』の「[ナビゲート]ビューでのメタデータの調査」を参照。
RAWイベントの表示[イベント]ビューNetWitness Investigateユーザ ガイド』の「[イベント]ビューでのRAWイベントの調査」を参照。
RAWイベントとメタデータの分析[イベント分析]ビューNetWitness Investigateユーザ ガイド』の「RAWイベントとメタデータの分析」を参照。
エンドポイントの調査[ホスト]ビューNetWitness Endpointユーザ ガイド』を参照。
不審なエンドポイント ファイルの検索[ファイル]ビューNetWitness Endpointユーザ ガイド』を参照。
ファイルとイベントをスキャンしてマルウェアを探す[Malware Analysis]ビューMalware Analysisユーザ ガイド』を参照。
高リスクなユーザ行動を検索[ユーザ]ビューRSA NetWitness UEBAユーザ ガイド』を参照。

インシデントのトリアージ

[対応] ビューから移行

NetWitness Respondユーザ ガイド』を参照。

構成

[構成]ビューでは、脅威インテリジェンス担当者(コンテンツ エキスパート)がNetWitness Platformのデータ ソースと入力データを1つの場所で効率的に構成できます。

構成メニュー

This figure shows the Configure secondary menu: Live Content, Incident Rules, ESA Rules, Subscriptions, and Custom Feeds.

構成メニューには、次のオプションがあります。

  • Liveコンテンツ:(Liveサービス)[Liveコンテンツ]ビューでは、Liveサービスのリソースの検索とサブスクライブができます。Liveサービスは、NetWitness Platform上の各サービスとRSA NetWitness Platformのお客様が使用可能なLiveコンテンツ ライブラリの間の通信と同期を管理する、NetWitness Platformのコンポーネントです。RSA Live CMS(Content Management System)のコンテンツを表示、検索、サブスクライブし、NetWitness Platformのサービスとソフトウェアに導入することができます。リソースをサブスクライブすると、RSA Liveサービスから更新を定期的に受信することに同意したことになります。
    10.6では、[Live]>[検索]に相当します。
  • インシデント ルール:[インシデント ルール]ビューでは、インシデントを自動的に作成するために、さまざまな条件のインシデント ルールを作成することができます。優先度が設定されたインシデントを[対応]ビューで表示できます。
    10.6では、[インシデント]>[構成]に相当します。11.1 以降では、統合ルールはインシデント ルールと呼ばれます。
  • 対応の通知:[対応の通知]ビューでは、SOCマネージャや、インシデントに割り当てられたアナリストに対して、インシデントが作成または更新されたときに自動的にメール通知を送信することができます。
  • ESAルール:[ESAルール]ビューでは、ネットワーク内の問題ある行動や脅威と考えられるイベントを特定する条件を指定したESA(Event Stream Analysis)ルールを管理することができます。ESAは、ルールの条件に一致する脅威を検出するとアラートを生成します。
    自分でESAルールを作成するか、Liveサービスからダウンロードすることができます。ルール ライブラリには、作成またはダウンロードされたすべてのESAルールが表示されます。ルールを有効にするには、ルールを導入環境に追加する必要があります。導入環境により、ルール ライブラリのルールを適切なESAサービスに割り当てます。
    10.6では、[アラート]>[構成]に相当します。
  • サブスクリプション:(Liveサービス)[サブスクリプション]ビューでは、[Liveコンテンツ]ビューでサブスクライブしたLiveコンテンツを管理できます。NetWitness PlatformにLiveサービスをセットアップするには、CMSサーバとNetWitness Platformの接続と同期を構成します。
    10.6では、[Live]>[構成]に相当します。
  • カスタムFeed:(Liveサービス)[カスタムFeed]ビューでは、カスタムFeedの作成と管理のタスクを効率的に実行できます。選択したDecoderとLog DecoderにFeedのデータを入力することもできます。カスタムFeedとIdentity Feedを設定して管理することができます。
    NetWitness Platformは外部で定義されたメタデータ値に基づいてメタデータを作成するために、Feedを使用します。Feedは、収集または処理されるセッションと比較されるデータのリストです。Feedの内容と一致するセッションには、追加のメタデータが作成されます。
    たとえば、カスタム ネットワーク アプリケーションに対応するために、カスタムFeedを作成して追加のメタデータ抽出を行うことができます。
    10.6では、[Live]>[Feed]に相当します。
  • ログ パーサ ルール:[ログ パーサ ルール]タブには、個々のログ パーサに関する情報のほか、特定のログ パーサに関連付けられていないログを解析できる「parse all」パーサがデフォルトで表示されます。このタブには、次の情報が含まれます。
    • 特定のイベント ソース タイプのルールを表示できます。デフォルト パーサのルールも含まれます。

    • 構成済みの各ログ パーサの名前、リテラル、パターン、メタを表示できます。

    • ログ パーサを追加できます。

    • ログ パーサのカスタム ルールを追加、編集、および削除できます。

    注:[ログ パーサ ルール]タブは、バージョン11.2以降の[構成]メニューに表示されます。それ以前のバージョンでは[管理]>[イベント ソース]に表示されます。

                                                     
実行できることパス手順
Liveサービスアカウントの作成RSA Live登録ポータル:
https://cms.netwitness.com/registration/
Liveサービス管理ガイド」を参照。
Liveサービスリソースの検索と導入[構成]>[Liveコンテンツ]Liveサービス管理ガイド」を参照。
インシデントの自動作成[構成]>[インシデント ルール]NetWitness Respond構成ガイド」を参照。
対応の通知の構成[構成]>[対応の通知]NetWitness Respond構成ガイド」を参照。
アラートの構成[構成]>[ESAルール]ESA相関ルール アラート ユーザ ガイド」を参照。
NetWitness PlatformでのLiveサービスの設定[構成]>[サブスクリプション]Liveサービス管理ガイド」を参照。
カスタムFeedおよびIdentity Feedの設定および管理[構成]>[カスタムFeed]Liveサービス管理ガイド」を参照。
ログ パーサとログ パーサ ルールの表示および編集[構成]>[ログ パーサ ルール]ログ パーサ カスタマイズ ガイド」を参照。

管理

[管理]ビューでは、管理者がホストおよびサービスの管理、NetWitness Platformのヘルス モニタの監視、システム レベルのセキュリティ管理を行うことができます。また、グローバル システム リソースを構成し、イベント ソースを管理することもできます。

管理メニュー

This figure shows the Admin secondary menu: Hosts, Services, Event Sources, Health & Wellness, System, and Security.

管理メニューには、次のオプションがあります。

  • ホスト:[ホスト]ビューでは、ホストをセットアップおよび管理します。ホストは、サービスを実行するマシンであり、物理マシンの場合と、仮想マシンの場合があります。
  • サービス:[サービス]ビューでは、サービスの管理、サービスのユーザとロールの管理、サービス構成ファイルの管理、サービスのプロパティの確認と編集を行うことができます。サービスは、ネットワーク データをパケット形式で収集するDecoderサービスのように、固有の機能を実行します。
  • イベント ソース:[イベント ソース]ビューでは、イベント ソースの管理と、イベント ソースのアラート ポリシーの構成を行うことができます。イベント ソースは、通常、重要度によってグループ分けして監視します。イベント ソース グループごとに監視ポリシーを作成し、優先度を設定することができます。
  • エンドポイント ソース:[エンドポイント ソース]ビューでは、グループを使用してエンドポイント エージェントの構成を管理および更新し、ポリシーを使用してエージェントの動作を管理できます。デフォルトのポリシーを使用するか、これらのポリシーをカスタマイズすることができます。
  • ヘルスモニタ:[ヘルス モニタ]ビューでは、導入環境のNetWitness Platformホストおよびサービスの状態を監視することができます。
  • システム:[システム]ビューでは、NetWitness Platformのグローバル構成を設定できます。グローバル監査ログ、メール、システム ログ、ジョブ、RSA Liveサービス、URL統合、調査、ESA(Event Stream Analysis)、ESA Analytics、高度なパフォーマンス設定を構成できます。また、NetWitness Platformのバージョン管理、ローカル ライセンス サーバの構成なども実行できます。
  • セキュリティ:[セキュリティ]ビューでは、ユーザ アカウントの管理、ユーザ ロールの管理、外部グループへのNetWitness Platformロールのマッピング、その他のセキュリティ関連のシステム パラメータの変更などを実行できます。これらの設定はNetWitness Platformシステム全体に適用され、個々のサービスのセキュリティ設定とあわせて使用されます。

注:バージョン11.2以降では、[イベント ソース]>[ログ パーサ ルール]タブが[構成]ビューに表示されます。

                                                                         
実行できることパス手順
ホストの管理。[管理]>[ホスト]ホストおよびサービス スタート ガイド」を参照。
サービスへのユーザ アクセスおよびセキュリティの管理を含む、サービスの管理。[管理]>[サービス]ホストおよびサービス スタート ガイド」を参照。
イベント ソースの管理およびイベント ソースのアラート ポリシーの構成。[管理]>[イベント ソース]イベント ソース管理ガイド」を参照。
エンドポイント ソースの管理およびエンドポイント ソースのアラート ポリシーの構成。管理 > エンドポイント ソースEndpoint構成ガイド」を参照。
NetWitness Platformホストおよびサービスに対するアラームの設定および監視。[管理]>[ヘルスモニタ]>[アラーム]システム メンテナンス ガイド」を参照。
NetWitness Platformホストおよびホストで実行されているサービスの統計の監視。[管理]>[ヘルスモニタ]>[監視]システム メンテナンス ガイド」を参照。
ヘルスモニタでのNetWitness Platformの監視を支援するため、ホストとサービスに適用するポリシーを作成。[管理]>[ヘルスモニタ]>[ポリシー]システム メンテナンス ガイド」を参照。
NetWitness Platformのグローバル構成の設定。[管理]>[システム]システム構成ガイド」を参照。
グローバル監査ログの構成。[管理]>[システム]>[グローバル監査]システム構成ガイド」を参照。
システム セキュリティの設定。[管理]>[セキュリティ] システム セキュリティとユーザ管理ガイド」を参照。
ロールと権限によるシステム ユーザの管理。[管理]>[セキュリティ] システム セキュリティとユーザ管理ガイド」を参照。
PKI(公開鍵基盤)認証の設定。PKIはNetWitness Platform 11.3以降で使用できます。[管理]>[セキュリティ]システム セキュリティとユーザ管理ガイド」を参照。

Previous Topic:ロールの特定
You are here
Table of Contents > NetWitness Platformの基本ナビゲーション

Attachments

    Outcomes