レポート:レポートの概要

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode

レポートは、ネットワーク トラフィックの監視の結果としてのデータのコレクションであり、さらに分析に使用できます。NetWitness Suiteでは、ネットワーク アクティビティを特定するために、NetWitness Suiteデータベースのコア サービスに対してレポートを実行することができます。たとえば、上位のソースの国と宛先の国を特定したり、通常のカテゴリへの変更の監視や悪意のあるアクティビティなどを持つ可能性があるユーザーおよびサービスの監視に役立つ上位の脅威とリスクのトレンドを特定する場合です。

レポートは通常、次によって構成されます。レポートとチャート。収集したログやパケット データに関するレポートを生成できるほか、レポートやチャートをカスタマイズして結果を見やすく表示することができます。履歴データのリアルタイム レポートを作成できます。チャートを作成し、リアルタイム チャート ダッシュレットに追加することもできます。

Reporting Engine

レポートが利用するレポート、アラート、チャート用のデータはReporting Engineが取得します。そのためレポートを生成する前にReporting EngineをNetWitness Suiteに対するサービスとして構成する必要があります。また、Reporting Engineのデータ取得元となるデータ ソースを指定する必要があります。

レポートやアラートの対象となるデータは、Reporting Engineの構成や、ルール定義の中で指定するデータ ソースによって異なります。

注:Reports内のコンポーネントへのアクセス権が必要となります。

注:必要なデータ ソースへのアクセス権が必要となります。一部のデータ ソースへのアクセス権は、機密データへのアクセス権を持つ特権ユーザだけが持ちます。データ ソースへのアクセス制御を管理するには、「Warehouse Analyticsガイド」の「Warehouse Analyticsのロールの追加および権限の割り当て」を参照してください。しかし既存のレポート、アラート、チャートの場合は、ユーザ ロールまたは権限をそのデータ ソース向けに変更すれば、権限を手動で更新しない限りはこの制限は適用されません。

注:ユーザがこのレポートにアクセスするには、ロールが付与されている必要があります。

レポート

レポートは、ルールの条件に合致するデータと、ヘッダやHTML文書などのフォーマットされたオブジェクトの組み合わせです。レポートの定義と管理は[レポートのビルド]ページで行います。レポートは アドホックに、または時間ベースで実行するようにスケジュール設定できます。レポートを実行すると、結果は一元的に格納されるため、自動的にユーザにメール、SFTP、URL、NFSで送信したり、NetWitness Suite Webインタフェースから閲覧したり、PDFやCSVファイルとしてダウンロードしたりできます。

レポートの内容は次のとおりです。

                            
プロパティ説明
レポート名

注:名前]フィールドでは、列のサイズを拡張するためのアイコンが、列のフィールドの端に表示されません。列を拡大するアイコンを表示するには、マウスを少し左に置く必要があります。

後でレポートを識別してスケジュールを設定するために使用されます。レポート1
テキスト

事前に定義されているテキスト フィールド。ユーザにとってレポートをより分かりやすいものにするために、レポート内で使用されます。

Header1、Comment
ルール

レポートの作成に使用されるルール(クエリ)。

select user.dst

where ip.src = 10.10.10.1

注:レポート ユーザ インタフェースでは、表示された日付または時刻は常に、ユーザが選択したタイム ゾーン プロファイルに基づきます。

ルール

ルールは、レポートの基本的かつ重要なビルディング ブロックです。レポート、チャート、アラートで使用できるルールを作成する必要があります。

ルールはクエリで構成され、データ ソース内で要求した情報に一致する結果を検索して返します。

ルールの構文は、select句、where句、ソートおよびグループ オプション、結果セットの制限を使用できるという点で、SQL(Standard Query Language)の構文とよく似ています。ルールの内容は次のとおりです。

                                              
プロパティ説明
名前ルールの名前。Windows System Account Activity
Select結果セットで返されるメタ タイプのリストです。メタ タイプのリストは、メタ ライブラリに含まれています。ルール ビルダのメタ ライブラリは、NetWitness Suiteが接続されているNetWitness Suiteホストのインデックス構成と常に同期されています。このプロパティで表示できるメタ タイプの数は、ルールのソートの方法によって異なります。集計プロパティがオフの場合、ルールは複数のselectフィールドを持つことができます。セッション カウント、セッション サイズ、パケット サイズのいずれかで集計するようにルールを設定している場合、selectフィールドは1つのみ設定できます。 
Whereルールのクエリ条件を指定する句。alert='cleartext_ftp_passwords'
Then(ルール アクション)ルールの結果セットを処理する一連の関数。レポートの出力を絞り込んだり、データのクエリや表示以外の機能をルールに追加したりすることができます。lookup_and_add ('username','ip.src',10);

整列

結果セットのデータを分類してカウントする方法を指定します。以下を使用できます。

  • 合計
  • 列名

合計

件数ルールに対する結果セットの上限サイズを指定します。結果セットがカウントまたはサイズによってソートされる場合、件数(=N)を指定すると、上位(下位)N個の結果が返されます。結果セットをソートしない場合は、最初のN個の値が返されます。20

注:ユーザ インタフェース(UI)に表示される日付または時刻は、ユーザが選択したタイム ゾーンによって異なります。

ルール タイプ

レポートには、各ルール タイプがあります。ルール タイプでは、レポート ルールで使用するデータのソースを指定します。次のルール タイプがあります。

                     
ルール タイプ説明
NetWitness DB(NetWitness Database)NetWitness Databaseでは、Reporting Engineのデータ ソースとしてConcentrator、Broker、Archiverを構成し、これらのデータ ソースからメタを検索して、ルールに応答を返します。
Warehouse DB(Warehouse Database)Warehouse DatabaseはRSA NetWitnessとも呼ばれ、大量のデータを保存します。Warehouseは大量のデータを容易にかつ効率的に取得できるよう設計されています。WarehouseはReporting Engineからもメタを検索します。
データベースの応答(応答データベース応答データベースは、アラートとインシデントを報告します。応答データベースには、さまざまなサービスで生成されたアラートとインシデントが含まれます。これらのアラートとインシデントからレポートを作成できます。

注:ユーザ インタフェース(UI)に表示される日付または時刻は、ユーザが選択したタイム ゾーンによって異なります。

リスト

リストは、一連のCSV(コンマ区切り形式)の値の集合を参照する変数として使用します。  リストは、ルールに挿入したりルール アクションの引数として使用したりできます。リストは他の値のプレースホルダーとして機能でき、必要に応じて入力したり、更新したりできます。

レポートとアラートのルールを定義するために使用できるリストを作成、管理、表示することができます。

リストは空にできません。また、重複する値を指定したり、値を空白にすることはできません。

注:Then句にlookup_and_addが含まれるルールを持つレポートを定義して、レポートをリストに出力する場合、リストには結果は表示されません。
たとえば、Select句にip.src、Then句にlookup_and_add ('ip.dst','ip.src', 10)が含まれるルールを作成する場合、レポートには結果が表示されますが、リストを出力先にした場合はリストは空になります。

チャート

チャートは、データの表形式またはグリッドの表現です。これには以下のものが含まれます。

                       
プロパティ説明
チャートの名前チャートを識別します。チャート1
ルールフォルダ階層で、ルール パスを選択して指定します。 

チャートを作成する場合、ルールの集計オプションが設定されているReporting EngineシステムのNetWitness Suite DBルールを使用します。NetWitness Suiteでは、チャートの更新間隔をチャート定義パネルから直接調整できます。チャートは、実行されるたびに結果のデータがReporting Engineにローカルに格納されるため、パフォーマンスを低下させずに[ダッシュボード]ビューまたは[チャート]ビューのいずれかで結果を確認できます。

注:Reportingユーザ インタフェースでは、日付と時刻が表示されるフィールドの出力は常に、ユーザが選択したタイム ゾーン プロファイルに基づきます。

注:RE(Reporting Engine)は、ルール、レポート、チャート、アラートを実行する前に、使用可能なディスク領域を自動的に確認します。REの空きディスク領域の割合(%)が最小ディスク領域の閾値(デフォルト値は5)未満になると、REは現在の実行を停止し、ユーザ インタフェースとログにエラー メッセージ「Reporting Engineの使用可能なディスク領域が5%未満になりました。容量を空けてから処理を続行してください」が表示されます。さらに、次のパスを使用して、最小ディスク領域の閾値も構成する場合もあります。RE>Explore>com.rsa.soc.re>Configuration>CommonConfig>minDiskSpaceThreshold

レポートに関する推奨事項

このセクションでは、レポートのエンティティ(ルール、レポート、アラート、チャート、リストなど)の実行時間を短縮するためにRSAが推奨するガイドラインを紹介します。以下のガイドラインについて記述しています。

  • NWDBルール
  • NWDBルールのタイムアウト構成
  • Lookup and Addルール アクション
  • リスト値レポート

NWDBルール

レポート、アラート、チャートなどのReportingのエンティティにNWDBルールが含まれていて(ほとんどの場合、クエリにグループ化が含まれている)、実行に時間がかかる場合、次の項目を試してください。 

  1. WHERE句を調整する。
    (特に[グループ化]オプションを使用する場合)Where句を使用するか調整することでスキャン対象セッション数を制限できます。たとえば、次のルールを検討します。
    通常のWhere句


    前述のWhere句を使用した場合、集計対象のセッションが膨大な数に上ります。この場合、一連のIPアドレスを指定するか、関係するIPアドレスを含んだリスト(list of IP Address)を作成し、必要なセッションだけをフィルタで抽出することによって、それを防ぐことができます。
    フィルタされたWhere句  
  2. インデックス作成済みのメタ キーをWhere句に使用する。
    メタのインデックスが作成されているかどうかを把握するには、マウスをメタ キーに合わせます。値タイプがINDEX_VALUEである場合、そのメタにはインデックスが作成されています。メタにインデックスが作成されていない場合、値タイプはINDEX_KEYまたはINDEX_NONEとなります。
    次に示したのは、インデックスが作成されているメタ キーのスナップショットです。
    インデックス作成済みのメタ キー
     
  3. [タイムアウト]オプションを構成する。
    クエリに時間がかかり、タイムアウトが発生して失敗する場合、NWDBルール実行のタイムアウトを構成することができます。詳細については、以下のセクション「NWDBルールのタイムアウト構成」を参照してください。 
  4. 異なる時刻に実行するようにクエリのスケジュールを設定する。
    複数の集計クエリが同時に実行されタイムアウトが発生するようであれば、それらのクエリを別々の時刻に実行するようスケジュールを設定し、実行時間が重ならないようにします。 

NWDBルールのタイムアウト構成

注:構成に何らかの変更を加える際は、Reporting EngineとNWDBデータ ソースの統計をあらかじめチェックしておくことを推奨します。詳細については、Reporting Engineの「サービスの詳細の監視」トピックおよび「システム メンテナンス ガイド」の「システム統計情報の監視」トピックを参照してください。   

タイムアウトが原因でNWDBルールが実行に失敗する場合、[レポートの表示]ページに次のエラーが表示されます。 

  • Reporting Engineのタイムアウト エラー
    • 「‘/sdk/values'リクエストに対するレスポンスが、構成されている時間(30分)内にデータソース‘10.31.x.x Concentrator'から返されませんでした。」 
    • NWDBのタイムアウト エラー
      • 「ソース「10.31.x.x Concentrator」からデータをフェッチしているときにエラーが発生しました。{Timeout message from NWDB}。」
      このような場合、次の方法で対処できます。
      • Reporting Engineのタイムアウト
        Reporting Engineのタイムアウトを調整する場合、時間のかかるクエリが最後まで実行できるようにタイムアウト時間を延長します。Reporting EngineのNWDB Queries Time OutおよびNWDB Info Queries Time Outオプションの設定の詳細については、「Reporting Engine構成ガイド」の「ステップ 2. Reporting Engine 設定の構成」のトピックを参照してください。NWDB Query Time Out は0分(タイムアウトなし)に、NWDB Info Queries Time Outは60分に設定することを推奨します。
      • NWDBタイムアウト
        NWDBタイムアウトの場合は、NWDBデータ ソースのquery.level.timeoutパラメータおよびmax.concurrent.queriesパラメータを構成する必要があります。「コア データベース チューニング ガイド」の推奨事項に基づいて、クエリを微調整してください。
        次の図は、[エクスプローラ]ビューの例です。NWDBデータ ソースのパラメータは、このビューで設定することができます。
        NWDBデータ ソースのパラメータの設定
      • 異なる時刻に実行するようレポートのスケジュール設定を行う
        NWDBコア デバイスの使用率が高い場合、各レポートが別々の時刻に実行されるようにスケジュールを設定し、実行時間が重ならないようにします。 
      • レポートを分割する
        1つのレポートに多数のルールが存在する場合、いくつかのルールのまとまりごとにレポートを分割します。複数のルールが存在する場合、スレッドの空き状況によっては、すべてのルールの実行が同時に開始されます。そのようなときは、論理的にルールを別個のレポートにグループ化することができます。

LookupAndAddルール アクション

lookup_and_addルール アクションを少なくとも1つ含んだルールで、レポートの実行時間が長くかかる場合、それぞれのルール アクションで、NWDBデータ ソースに対する複数のルックアップ クエリをトリガーしていることが原因と考えられます。

レポートの実行時間を短縮するには、次の項目を試してください。  

  • 次のWhere句を調整する
    • lookup_and_addルール アクションを含んだルール
    • lookup_and_addルール アクション
  • 件数を設定する
    ルールとルール アクションに対し、適切な上限を設定する必要があります。上限が高く、トリガーされるクエリが多いと、レポートの実行に時間がかかります。 
  • boolean aggregateパラメータの設定

    ルックアップ値に、sum(meta), count(meta)などの集計値が不要であれば、lookup_and_addルール アクションで、boolean aggregateパラメータをfalseに設定します。詳細については、「ルール構文」の「ルール構文 」を参照してください。

    lookup_and_add(string select, string field, int limit, boolean inherit, string extraWhere, boolean aggregate)

    次のようなlookup_and_addルール アクションを含むルールがあるとします。

    lookup and addルール アクションを含むルール 

    出力が表示されます。

    lookup and addルール アクションを含むルールの出力 

  • それぞれのlookup_and_addルール アクションは、データ ソースに対し、デフォルトで2つの同時ルックアップ クエリをトリガーします。RSAでは、デフォルトの設定を使用することを推奨しますが、この値を増やしたい場合は、Reporting EngineのMax # of Concurrent LookupAndAdd Queriesパラメータの値が、NWDBデータ ソース構成におけるMax Concurrent Queriesの値よりも小さくなるようにしてください。
    NWDBデータ ソースを他のサービスと共有する場合、他のサービスのクエリに影響が生じるため、Reporting EngineのMax # of Concurrent LookupAndAdd Queriesパラメータの値は低いままの方がよい場合もあります。詳細については、「Reporting Engine構成ガイド」のトピック「Reporting Engineの[全般]タブ」を参照してください。 
  • 調査対象が一意の値のみであって、正確な集計結果が必要ない場合は、NWDBルールのSession Thresholdをゼロ以外に設定します。詳細については、「ルールの構成」の「NetWitnessデータ ソースを使用したルールの作成」を参照してください。この値を大きくするほど、ルールの実行に時間がかかります。この値をゼロに設定した場合、実行時間は長くなりますが、正確な集計結果が得られます。
    次のようなlookup_and_addアクションを含んだルールがあり、[セッション閾値]が10に設定されているとします。
    lookup_and_addルール アクションを含み、[セッション閾値]が10に設定されているルール

    出力が表示されます。
    lookup_and_addルール アクションを含み、[セッション閾値]が10に設定されているルールの出力

リスト値レポート

厳選されたリストを使用します。

(データ ソースのタイプに関係なく)リスト値レポートでは、リスト内の値ごとに各レポートが生成されます。そのため、リストに含まれる値の数が多いほど、レポートの実行に時間がかかります。リスト値レポートを生成する場合は、厳選したリストを使用してください。 

レポートのアクセス制御

レポート モジュールでは、モジュール内のすべてのコンポーネントに対してアクセス制御を設定できます。NetWitness Suiteでは、システム セキュリティ モジュールでさまざまなロールを定義し、構成したロールごとにアクセス制御を指定することができます。ロールごとにレポート モジュールで提供されるアクセス制御を定義できます。詳細については、次のトピックを参照してください:「システム セキュリティとユーザ管理ガイド」の「ステップ1:事前構成されたNetWitness Suiteロールの確認」と「ステップ 2:(オプション)ロールの追加と権限の割り当て」。

レポート モジュールでは、以下のオブジェクトに対するロールの権限またはアクセスを変更できます。

次に、オブジェクト グループ、オブジェクト、依存エンティティの階層の例を示します。これは、レポート グループとレポートの階層の図です。

レポート グループとレポートの階層

レポート グループとレポートの階層

オブジェクト グループの権限

  • オブジェクト グループ、オブジェクト、依存エンティティの権限を設定するには、「読み取り/書き込み」権限が必要です。「アクセス不可」権限を持つ依存エンティティはグレー表示され、「読み取り専用」権限を持つ依存エンティティはアイコン付きで示されます。
  • オブジェクト グループの権限を設定しても、オブジェクト グループ内のオブジェクトと依存エンティティは権限を自動的に継承しません。これを行うには、[これらの権限をこのグループのサブグループと<オブジェクト>に適用します]オプションを選択します。たとえば、Operatorsロールに、レポート グループAのレポートにアクセスさせたくない場合は、Operatorsロールに対してグループAの権限を「アクセス不可」に設定し、[これらの権限をこのグループのサブグループとレポートに適用します]オプションを選択します。
  • オブジェクト グループの権限を設定し、[これらの権限をこのグループのサブグループと<オブジェクト>に適用します]オプションを選択しても、オブジェクト内のルールやスケジュールなどの依存エンティティは権限を自動的に継承しません。権限をルールに適用するには、[読み取り専用権限を<オブジェクト>のルールに適用します]オプションを使用します。
  • オブジェクトの権限を設定するときは、階層のオブジェクトに必ず、権限を適用する階層レベルより上のレベルと同等か、それより低い権限を付与します。たとえば、レポート グループのレポートに「読み取り/書き込み」権限があり、レポート グループ レベルで「読み取り専用」または「アクセス不可」権限を適用し、[これらの権限をこのグループのサブグループとレポートに適用する]オプションを選択した場合、ルールの権限は変更されません。 
  • 権限は階層の上から下へ継承されますが、下から上へは継承されません。たとえば、ルールに権限を適用しても、ルールを含むレポートの権限は変更されません。 

オブジェクトまたは依存エンティティの権限

  • オブジェクトまたは依存エンティティの権限を設定するには、「読み取り/書き込み」権限が必要です。
  • オブジェクトごとに権限を設定する代わりに、一度に複数のオブジェクトの権限を指定できます。
  • オブジェクトの権限を設定しても、オブジェクト内の依存エンティティは権限を自動的に継承しません。これを行うには、[読み取り専用権限を<オブジェクト>のルールに適用します]オプションを選択します。

依存エンティティに権限を適用すると、権限はロールの既存の権限に基づいて適用されます。たとえば、AnalystとOperatorが複数の依存エンティティに対して以下の権限を持つ場合を考えてみます(レポートAオブジェクトは、依存エンティティとして、ルールAA、ルールAB、ルールACを持ちます)。 

                               
オブジェクトまたは依存関係 アナリスト オペレーター
レポートA読み取り/書き込みアクセス不可
           ルールAA読み取り/書き込みアクセス不可
           ルールAB読み取り/書き込み読み取り/書き込み
           ルールAC読み取り専用アクセス不可

AnalystがOperatorに対して「読み取り/書き込み」権限を適用し、[読み取り専用権限を<オブジェクト>のルールに適用する]オプションを選択すると、権限は依存エンティティに対して次のように設定されます。 

権限の変更

  • グループ レベル:オブジェクト グループ レベルで、グループ内のすべてのオブジェクトおよびエンティティの権限を設定します。たとえば、「管理者レポート」グループに80個のレポートがあり、管理者以外のユーザーに、レポートを追加または変更させたくない場合は、グループ レベルで管理者以外のすべてのロールの権限を「読み取り専用」に設定し、それをレポート グループのすべてのレポートとサブグループに適用するオプションを選択することができます。 
  • 複数のオブジェクト複数のオブジェクトを選択し、選択したすべてのオブジェクトのアクセスを指定します。たとえば、「ネットワーク トラフィック」サブグループに機微情報を含む10個のレポートがあり、誰にもそれらのレポートにアクセスさせたくない場合は、10個のレポートを選択し、すべてのロールの権限を「アクセス不可」に設定します。
  • 単一のオブジェクト:単一のオブジェクトのみを選択し、権限を指定します。たとえば、「ネットワーク トラフィック レポート」を選択し、Security Analystロールに対して「読み取り/書き込み」権限を指定したり、「ログイン失敗アラート」を選択し、Security Analystロールに対して「読み取り/書き込み」権限を指定します。
                               
オブジェクトまたは依存関係Operator(権限適用前)Operator(権限適用後)
レポートAアクセス不可読み取り/書き込み
           ルールAAアクセス不可読み取り専用
           ルールAB読み取り/書き込み読み取り/書き込み
           ルールACアクセス不可読み取り専用

レポート モジュールのロールおよび権限

NetWitness Suiteには事前構成済みのロールが5つありますが、カスタムのロールを追加することもできます。たとえば、事前構成されたAnalystsロールに加えて、AnalystsEuropeおよびAnalystsAsiaというカスタム ロールを追加できます。

                               
ロール権限
管理者フル システム アクセス
Operators構成にアクセスし、データにはアクセスしない
Analystsデータにアクセスし、構成にはアクセスしない
SOC_ManagersAnalystsと同じアクセス権に加えて、インシデントの処理に必要な権限を持つ
Malware_Analystsマルウェア イベントへのアクセスのみ

ユーザ ロールに応じて次のアクセス権限を設定し、レポート モジュールのコンポーネント(ルール、レポート、チャート、アラート、リスト)にアクセスできます。

  • 作成
  • 削除
  • エクスポート
  • 管理 
  • 表示 

注:レポート モジュールを個別に定義、削除、エクスポート、管理、表示できるようにするには、ユーザのロールに対してこれらすべてのアクセス権限を有効化する必要があります。また、レポート、チャート、アラートを定義しながらデータ ソースを一覧表示するには、適切な権限が必要です。詳細については、「Reporting Engine構成ガイド」の「データ ソースの権限の構成」トピックを参照してください。

権限のリストとロールの追加、権限の割り当て方法の詳細については、「システム セキュリティとユーザ管理ガイド」の「ロールの権限」および「ステップ2.(オプション)ロールの追加と権限の割り当て」を参照してください。 

You are here
Table of Contents > レポートの概要

Attachments

    Outcomes