対応:アラートのレビュー

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suiteは、複数のソースから生成された脅威アラートを統合し、1つのリストに表示します。これらのアラートは、[対応]>[アラート]ビューで確認できます。アラートのソースは、ESAの相関ルール、ESA Analytics、NetWitness Endpoint、Malware Analysis、Reporting Engine、その他多数です。アラートのソース、アラートの重大度、アラートの詳細を表示できます。

注:ESA相関ルールのアラートは、[対応]>[アラート]ビューにしか表示されません。

大量のアラートを効率良く管理するため、重大度、時間範囲、アラート ソースなどの条件を指定して、アラート リストをフィルタすることができます。たとえば、まだインシデントに追加されていない、重大度が90~100のアラートのみを表示するようフィルタを設定することができます。その後、いくつかのアラートを選択し、インシデントを作成したり既存のインシデントに追加することもできます。

アラートのレビューおよび管理を行うには、次の手順を実行します。

アラートの表示

[アラート リスト]ビューでは、複数のソースで生成された様々なアラートを参照し、フィルタを設定し、グループ化してインシデントを作成できます。この手順では、アラート リストにアクセスする方法を示します。

  1. [対応]>[アラート]に移動します。
    [アラート リスト]ビューには、すべてのNetWitness Suiteアラートのリストが表示されます。
    Alerts List view
  2. アラート リストをスクロールすると、次の表で説明する各アラートに関する基本的な情報が表示されます。
                                       

説明

作成日時アラートがソース システムに記録された日時を表示します。
重大度アラートの重大度のレベルを表示します。値は1~100です。
名前アラートの基本的な説明を表示します。
ソース アラートを生成したソースを表示します。アラートのソースは、NetWitness Endpoint、Malware Analysis、Event Stream Analysis(ESA相関ルール)、ESA Analytics、Reporting Engine、Web Threat Detection、その他多数です。
イベント数アラートに含まれるイベントの数を示します。この値は、ソースによって異なります。たとえば、NetWitness EndpointアラートとMalware Analysisアラートでは、常にイベントの数が1つになります。特定のタイプのアラートでは、イベント数が多い程より高いリスクを示す可能性があります。
ホスト サマリホストの詳細(アラートをトリガーしたホスト名など)を表示します。詳細には、アラートのソース ホストや宛先ホストに関する情報が含まれる場合があります。 アラートの中には、複数のホストのイベントが関係する場合があります。
インシデントIDアラートのインシデントIDを表示します。インシデントIDがない場合は、アラートがインシデントに属さないことを示します。このようなアラートは、新しいインシデントを作成してそこに追加するか、既存のインシデントに追加することができます。

リストの一番下で、現在のページのアラート数と、アラートの総数を確認できます。例えば、「377件中377件を表示中」のように表示されます。

アラート リストのフィルタ

アラート リスト内のアラートの数が大量になると、特定のアラートを見つけることが困難になる可能性があります。フィルタを使用すると、特定のソースからのアラート、特定の重大度のアラート、インシデントに追加されていないアラートなど、目的のアラートを表示することができます。

  1. [対応]>[アラート]に移動します。
    アラート リストの左側に[フィルタ]パネルが表示されます。[フィルタ]パネルが表示されない場合は、[アラート リスト]ビューのツールバーでFilter iconをクリックすると[フィルタ]パネルが開きます。
    Alerts List Filter panel
  2. [フィルタ]パネルで1つまたは複数のオプションを選択し、アラートのリストをフィルタします。
    • 時間範囲]:[時間範囲]ドロップダウン リストから特定の期間を選択できます。時間範囲は、アラートを受信した日付に基づきます。たとえば、[直近1時間]を選択する場合は、過去60分以内に受信したアラートが表示されます。
    • カスタムの日付範囲]:[時間範囲]オプションを選択する代わりに、特定の日付範囲を指定できます。これを行うには、[カスタムの日付範囲]の前にある白色の円をクリックし、[開始日]と[終了日]のフィールドを表示します。カレンダーから日付と時刻を選択します。
      Custom Date Range option in the filter
    • タイプ]:表示するアラートのイベントのタイプ(ログ、ネットワーク セッションなど)を選択します。
    • ソース]:1つまたは複数のソースを選択すると、そのソースによってトリガーされたアラートが表示されます。たとえば、NetWitness Endpointアラートのみを表示するには、ソースとして[エンドポイント]を選択します。
    • 重大度]:表示するアラートの重大度レベルを選択します。値は1~100です。たとえば、最高の重大度のアラートを最初に重点的に確認するため、90~100の重大度のアラートのみを表示することができます。
    • インシデントに追加済み]:インシデントに追加されていないアラートのみを表示するには、[いいえ]を選択します。インシデントに追加済みのアラートのみを表示するには、[はい]を選択します。たとえば、アラートのグループからインシデントを作成しようとしているときは、[いいえ]を選択すると、現在インシデントに追加されていないアラートのみを表示することができます。
    • アラート名]:表示するアラートの名前を選択します。このフィルタを使用すると、[悪意のあるIP:Reporting Engine]などの特定のルールまたはソースによって生成されたすべてのアラートを検索することができます。

    アラート リストには、条件を満たすアラートのリストが表示されます。アラート リストの一番下では、フィルタ処理されたリストのアイテム数を確認できます。
    例えば、「30件中30件を表示中」のように表示されます。

  3. [フィルタ]パネルを閉じる場合は、[X]をクリックします。フィルタは、削除するまで設定されたままになります。

アラート リストのフィルタの削除

NetWitness Suiteは、[アラート リスト]ビューのフィルタ選択を記憶します。不要な場合はフィルタ選択を削除することができます。たとえば、表示するべきアラート数が表示されない場合や、アラート リストにすべてのアラートを表示する場合は、フィルタをリセットできます。

  1. [対応]>[アラート]に移動します。
    アラート リストの左側に[フィルタ]パネルが表示されます。[フィルタ]パネルが表示されない場合は、[アラート リスト]ビューのツールバーでFilter iconをクリックすると[フィルタ]パネルが開きます。
  2. [フィルタ]パネルの下部で[フィルタのリセット]をクリックします。

アラートのサマリ情報の表示

アラートに関する基本的な情報の表示に加えて、RAWアラートのメタデータを[概要]パネルに表示することもできます。

  1. アラート リストで、表示するアラートをクリックします。
    アラート リストの右側にアラートの[概要]パネルが表示されます。
    Alerrts View showing Overview panel
  2. [RAWアラート]セクションをスクロールすると、RAWアラート メタデータを表示できます。
    Alert Overview panel

アラートのイベント詳細の表示

[アラート リスト]ビューでアラートに関する一般的な情報をレビューした後、[アラートの詳細]ビューに移動して詳細情報を確認し、必要なアクションを判断することができます。アラートには、1つまたは複数のイベントが含まれています。[アラートの詳細]ビューでは、アラートをドリル ダウンして追加のイベントの詳細を取得し、さらにアラートを調査することができます。次の図は、[アラートの詳細]ビューの例です。

Alert Details view showing the Events panel

 

左側の[概要]パネルには、[アラート リスト]ビューの[概要]パネルと同じアラート情報が表示されます。

右側の[イベント]パネルには、イベント タイム、ソースIP、宛先IP、検知器IP、ソース ユーザ、宛先 ユーザ、イベントに関するファイル情報など、アラートのイベントに関する情報が表示されます。表示される情報の量は、イベント タイプに依存します。

イベントには次の2つのタイプがあります。

  • 2台のマシン(ソースと宛先)間のトランザクション
  • 1台のマシン(検知器)で検出された異常

一部のイベントには、検知器の情報しか含まれません。たとえば、NetWitness Endpointはマシンのマルウェアを検出します。その他のイベントは、ソースと宛先の情報を含んでいます。たとえば、パケット データは、1台のマシンとコマンド&コントロール(C2)ドメイン間の通信を表します。

イベントをさらにドリル ダウンして、イベントに関する詳細なデータを取得できます。

アラートのイベント詳細を表示するには:

  1. アラートのイベント詳細を表示するには、[アラート リスト]ビューで表示するアラートを選択し、そのアラートの[名前]列のリンクをクリックします。
    Alerts List showing Name link
    [アラートの詳細]ビューでは、左側に[概要]パネル、右側に[イベント]パネルが表示されます。
    Alert Details view showing the Events panel
    [イベント]パネルには、イベントのリストと、各イベントに関する情報が表示されます。次の表は、イベント リスト(イベント テーブル)に表示される列の一部を示しています。
  2.                                                

    説明

    時間イベントの発生時刻を示します。
    タイプ「Log」または「Network」などのアラートのタイプを示します。
    ソースIP2台のマシン間のトランザクションがあった場合は、ソースIPアドレスを示します。
    宛先IP2台のマシン間のトランザクションがあった場合は、宛先IPアドレスを示します。
    検知器のIP異常を検出したマシンのIPアドレスを示します。
    ソース ユーザソース マシンのユーザを示します。
    宛先ユーザ宛先マシンのユーザを示します。
    ファイル名イベントにファイルが関連している場合は、ファイル名が表示されます。
    ファイル ハッシュファイルの内容のハッシュを示します。

    リストにイベントが1件しかない場合は、リストではなくそのイベントの詳細が表示されます。

  3. イベント リストのイベントをクリックし、イベントの詳細を表示します。
    この例では、イベント リストの最初のイベントの詳細を表示しています。
    Event Details showing first event
  4. その他のイベントを表示するには、[テーブルに戻る]ボタンの右側のページ ナビゲーションを使用します。この例では、イベント リストの最後のイベントの詳細を表示しています。
    Event Details showing the navigation options in the last event in the alert

[アラートの詳細]パネルに表示されるイベント データに関する詳細については、[アラートの詳細]ビューを参照してください。

イベントの調査

イベントをさらに調査するには、追加のコンテキスト情報へのリンクを見つけます。リンクをクリックすると、選択可能なオプションが表示されます。

コンテキスト情報の表示

[アラートの詳細]ビューでは、[イベント]パネルの下線付きのエンティティを確認できます。下線付きエンティティはContext Hubのエンティティと見なされ、使用可能な追加のコンテキスト情報を表示できます。次の図は、イベント リストの下線付きのエンティティを示しています。

Events panel - Event list showing underlined entities

次の図は、[イベントの詳細]の下線付きのエンティティを示しています。

Events panel - Event details showing underlined entities

Context Hubでは、エンティティとメタ フィールドのマッピングを事前構成します。NetWitness RespondとInvestigateはコンテキスト ルックアップでこれらのデフォルトのマッピングを使用します。メタ キーを追加する方法については、「Context Hub構成ガイド」の「データ ソース設定の構成」を参照してください。

注意:コンテキスト ルックアップを[対応]ビューと[調査]ビューで正常に動作させるため、[管理]>[システム]>[調査]>[コンテキスト ルックアップ]タブでメタ キーをマッピングする際に、[メタ キー マッピング]にはメタ キーのみを追加し、MongoDBのフィールドは追加しないことを推奨します。たとえば、ip.addressはメタ キーですが、ip_addressはメタ キーではなくMongoDBのフィールドです。

コンテキスト情報を表示するには、次の手順を実行します。

  1. [アラートの詳細]ビューのイベント リストまたはイベントの詳細で、下線付きのエンティティにポインタを合わせます。
    コンテキスト ツールチップに、選択したエンティティで利用可能なコンテキスト データのタイプについて簡単なサマリが表示されます。
    Events panel - Event details showing context tooltip
    コンテキスト ツールチップには、2つのセクションがあります。[コンテキストのハイライト]と[アクション]です。
    Context tooltip
    コンテキストのハイライト]セクションの情報は、必要なアクションを判断するのに役立ちます。関連するアラートとインシデントの数が表示されます。データによっては、これらの数字付きのアイテムをクリックして詳細を確認できます。上の例は、238個の関連インシデント、8,755個の関連アラート、1つの関連Context Hubリストを表示しています。

    アクション]セクションには、使用可能なアクションが表示されます。上の例では、[調査に移行]、[エンドポイントに移行]、[リストへの追加/削除]オプションを使用できます。
  2. 選択したエンティティの詳細を表示するには、[コンテキストの表示]ボタンをクリックします。
    [コンテキスト]パネルが開き、エンティティに関連するすべての情報が表示されます。
    補足情報については、[対応]ビューの[コンテキスト ルックアップ]パネル を参照してください。

ホワイト リストへのエンティティの追加

下線付きの任意のエンティティを、コンテキスト ツールチップから、ホワイトリストまたはブラックリストなどのリストに追加できます。たとえば、誤検知を減らすために、下線付きのドメインをホワイトリストに追加して、関連エンティティから除外します。

  1. [アラートの詳細]ビューのイベント リストまたはイベントの詳細で、Context Hubリストに追加する下線付きのエンティティにポインタを合わせます。
    コンテキスト ツールチップに使用可能なアクションが表示されます。
    Events panel showing Add/Remove From List option
  2. ツールチップの[アクション]セクションで、[リストへの追加/削除]をクリックします。
    [リストへの追加/削除]ダイアログ ボックスに使用可能なリストが表示されます。
    Add/Remove From List dialog
  3. 1つ以上のリストを選択し、[保存]をクリックします。
    エンティティが、選択したリストに表示されます。
    [リストへの追加/削除]ダイアログで追加情報を参照してください。

ホワイトリストの作成

ホワイトリストは、[インシデントの詳細]ビューで作成するのと同じ方法でContext Hubで作成できます。「リストの作成」を参照してください。

NetWitness Endpointへの移行

NetWitness Endpointシック クライアント アプリケーションがインストールされている場合は、コンテキスト ツールチップから起動できます。そこから、疑わしいIPアドレス、ホスト、MACアドレスをさらに調査できます。

  1. [アラートの詳細]ビューのイベント リストまたはイベントの詳細で、下線付きのエンティティにポインタを合わせてコンテキスト ツールチップにアクセスします。
  2. ツールチップの[アクション]セクションで、[エンドポイントに移行]を選択します。[243]NetWitness Endpoint Thick Clientアプリケーションが、Webブラウザの外で開きます。

シック クライアントの詳細については、「NetWitness Endpointユーザ ガイド」を参照してください。

調査への移行

インシデントの詳細を調査するために、[調査]ビューにアクセスできます。

  1. [アラートの詳細]ビューのイベント リストまたはイベントの詳細で、下線付きのエンティティにポインタを合わせてコンテキスト ツールチップにアクセスします。
  2. ツールチップの[アクション]セクションで、[調査に移行]を選択します。
    [調査]の[ナビゲート]ビューが開き、より詳細な調査を実行できます。

詳細については、「NetWitness Investigateユーザ ガイド」を参照してください。

インシデントの手動作成

[アラート リスト]ビューでアラートからインシデントを手動で作成することができます。既に他のインシデントに追加されているアラートは選択できません。アラートから手動で作成されたインシデントのデフォルトの優先度は[低]ですが、優先度は作成した後に変更できます。手動で作成したインシデントにカテゴリを追加することはできません。

注:インシデントは手動または自動で作成することができます。1つのアラートは、1つのインシデントにのみ関連付けることができます。インシデント ルールを作成すると、収集されたアラートを分析し、一致したルールに応じてインシデントにグループ化することができます。詳細については、「NetWitness Respond構成ガイド」の「アラートのインシデント ルールの作成」のトピックを参照してください。

インシデントを手動で作成するには、次の手順を実行します。

  1. [対応]>[アラート]に移動します。
  2. アラート リストで、1つまたは複数のアラートを選択します。

    注:インシデントIDがないアラートを選択すると、[インシデントの作成]ボタンが有効化されます。アラートがすでにインシデントに追加済みである場合、ボタンが無効化されます。いずれのインシデントにも属していないアラートをフィルタするには、[フィルタ]パネルの[インシデントに追加済み]オプションで[いいえ]を選択します。

    Alerts List showing three alerts selected

  3. インシデントの作成]をクリックします。

    インシデントの作成]ダイアログが表示されます。

    Create Incident dialog with Example name

  4. インシデント名]フィールドで、インシデントを識別する名前を入力します。たとえば、「Investigate - IP」です。
  5. OK]をクリックします。
    Alerts List showing successful incident creation

    選択したアラートからインシデントが作成されたことの確認メッセージが表示されます。新しいインシデントIDが、選択したアラートの[インシデントID]列にリンクとして表示されます。リンクをクリックすると、そのインシデントの[インシデントの詳細]ビューが表示されます。ここでは、優先度を低から高に変更するなど、情報を更新することができます。

アラートをインシデントに追加

注:このオプションはバージョン11.1以降で使用可能です。

特定の既存のインシデントに適合するアラートがある場合、新しいインシデントを作成する必要はありません。代わりに、[アラート リスト]ビューから既存のインシデントにアラートを追加できます。既に他のインシデントに追加されているアラートは選択できません。

  1. [対応]>[アラート]に移動します。
  2. アラート リストで、インシデントに追加する1つ以上のアラートを選択して、[インシデントへの追加]をクリックします。

    注:インシデントIDがないアラートを選択すると、[インシデントへの追加]ボタンが有効化されます。アラートがすでにインシデントに追加済みである場合、ボタンが無効化されます。いずれのインシデントにも属していないアラートをフィルタするには、[フィルタ]パネルの[インシデントに追加済み]オプションで[いいえ]を選択します。

    Alerts List showing two alerts selected

  3. インシデントへの追加]ダイアログの[検索]フィールドに3文字以上を入力して、名前またはインシデントIDでインシデントを検索します。
    Add to Incident dialog showing search option
  4. [結果]リストで、選択したアラートを追加するインシデントを選択して、[OK]をクリックします。
    Add to Incident dialog showing an incident selected in the search results
    選択したアラートがインシデントに追加され、インシデントIDが割り当てられます。

アラートの削除

管理者やデータ プライバシー責任者など、適切な権限を持つユーザは、アラートを削除できます。この手順は、不要または関連性のないアラートを削除するときに役立ちます。これらのアラートを削除すると、ディスク領域が解放されます。

  1. [対応]>[アラート]に移動します。
    [アラート リスト]ビューには、すべてのNetWitness Suiteアラートのリストが表示されます。
  2. アラート リストで、削除するアラートを選択し、[削除]をクリックします。
    Remedation Tasks list with tasks selected for delete
    アラートを削除する権限を持っていない場合、[削除]ボタンは表示されません。
  3. アラートを削除することを確認し、[OK]をクリックします。
    Confirm Delete dialog
    アラートがNetWitness Suiteから削除されます。削除されたアラートがインシデントで唯一のアラートの場合は、インシデントも削除されます。削除されたアラートがインシデントで唯一のアラートでない場合は、削除を反映するようインシデントが更新されます。
 
You are here
Table of Contents > アラートのレビュー

Attachments

    Outcomes