対応:[インシデントの詳細]ビュー

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

[インシデントの詳細]ビュー([対応]>[インシデント]で、インシデント リストのIDまたは名前のハイパーリンクをクリック)では、インシデントの詳細にアクセスすることができます。[インシデントの詳細]ビューには、次の機能を提供する複数のパネルが含まれます。

  • 概要:インシデント サマリを表示し、インシデントを更新します。
  • インジケータ:インシデントに関連するインジケータ(アラート)、アラート内のイベント、使用可能なエンリッチメント情報を表示します。
  • ノード グラフ:エンティティ(IPアドレス、MACアドレス、ユーザ、ホスト、ドメイン、ファイル名、ファイル ハッシュ)のサイズと相互作用をビジュアル化します。
  • イベント データシート:インシデントに関連するイベントを調査します。
  • ジャーナル:メモを追加し、他のアナリストとの共同作業を行います。
  • タスク:インシデント タスクを作成し、クローズまでトラックします。
  • 関連インジケータ:インシデントに関連するインジケータ(アラート)を表示し、インシデントに関連付けられていない場合はインシデントに追加します。

[インシデントの詳細]ビューでデータをフィルタして、関心のあるインジケータおよびエンティティを調査することもできます。

ワークフロー

次のワークフローは、NetWitness Suiteでインシデントに対応するためにインシデント対応者が使用するプロセスの概要を示しています。

Incident Details view workflow diagram

[インシデントの詳細]ビューでは、インシデントについて提供された広範な情報を使用して、どのインシデントにアクションが必要かを判断できます。また、インシデントを調査し、エスカレーションまたは改善するためのツールと情報も提供します。

実行したいことは何ですか?

                                                                                             
ロール 実行したいこと手順

インシデント対応者、アナリスト、SOCマネージャ

優先度付けされたインシデントの表示、インシデント リストのフィルタとソート、インシデントの検索、担当インシデントの表示、自分へのインシデントの割り当て。

インシデントの優先度リストの確認

インシデント対応者、アナリストインシデントの詳細の表示。*インシデントの詳細の表示
インシデント対応者、アナリストアラートとエンリッチメントの表示。*インジケータとエンリッチメントの表示
インシデント対応者、アナリストイベントの表示。*イベントの表示と調査
インシデント対応者、アナリストイベントに関連するエンティティのグラフの表示。*イベントに関連するエンティティの表示と調査
インシデント対応者、アナリストインシデントのデータのフィルタ。*[インシデントの詳細]ビューでのデータのフィルタ処理
インシデント対応者、アナリストインシデント メモの表示と追加。*インシデント メモの表示」および「NetWitnessの外で実行した手順の記録
インシデント対応者、アナリストタスクの表示と作成。*インシデントに関連するタスクの表示」および「タスクの作成
インシデント対応者、アナリスト関連するアラートの検索と、インシデントへのアラートの追加。*関連インジケータの検索」および「インシデントへの関連インジケータの追加
インシデント対応者、アナリストContext Hubからのインシデントに関するコンテキスト情報の表示。*コンテキスト情報の表示
インシデント対応者、アナリスト

エンティティをホワイトリストに追加することによる誤検知の削減。*

ホワイト リストへのエンティティの追加

インシデント対応者、アナリスト

調査に移行する。*

調査への移行

インシデント対応者、アナリストNetWitness Endpointに移行する。*NetWitness Endpointへの移行
インシデント対応者、アナリストインシデントの更新またはクローズ。*

インシデントの更新」および「インシデントのクローズ

インシデント対応者、アナリスト、SOCマネージャすべてのタスクの表示。

インシデントのエスカレーションまたは改善

インシデント対応者、アナリスト、SOCマネージャインシデントとタスクの一括更新。インシデントのエスカレーションまたは改善

*これらのタスクはここ(つまり、[インシデントの詳細]ビュー)で完了できます。

関連トピック

簡単な説明

次の例は、[インシデントの詳細]ビューのパネルの場所を示しています。

Incident Details view Quick Look Diagram

                                 
1 [概要]パネル(表示するには、[概要]タブをクリックします)。
2 [インジケータ]パネル
3 ノード グラフ
4 イベント データシート(イベントの詳細を表示するには、イベント リストのイベントをクリックします)。
5 [ジャーナル]パネル
6[タスク]パネル(表示するには、[タスク]タブをクリックします)。
7 [関連インジケータ]パネル(表示するには、[関連]タブをクリックします)。

[概要]パネル

[概要]パネルには、選択したインシデントに関する基本的なサマリ情報が表示されます。また、インシデント名を変更することや、インシデントの優先度、ステータス、割り当て先を更新することもできます。[インシデント リスト]ビューの[概要]パネルにも同じ情報が表示されます。詳細については、[インシデント リスト]ビューの「[概要]パネル」のトピックを参照してください。

Incident Details view Overview Panel

[インジケータ]パネル

[インジケータ]パネルには、インジケータの一覧が時系列に表示されます。インジケータは、ESAアラートやNetWitness Endpointアラートなどのアラートです。(タイムラインとは異なり、インシデント内のイベントのタイミングをビジュアル化して表示します)。このリストは、インジケータと注目すべきデータを関連づけるのに役立ちます。たとえば、コマンド&コントロール ESAアラートに関連するIPアドレスは、NetWitness Endpointアラートやその他の疑わしいアクティビティをトリガーする可能性があります。

[インジケータ]パネルを表示するには、[インシデントの詳細]ビューの左側のパネルで[インジケータ]を選択します。

Incident Details view Indicators panel

データ ソースの情報は、インジケータの名前の下に表示されます。インジケータの作成日と時刻、インジケータのイベントの数も確認できます。

ノード グラフ

ノード グラフは、インシデントに関連するエンティティを表示する対話型のグラフです。エンティティは、IPアドレス、MACアドレス、ユーザ、ホスト、ドメイン、ファイル名、ファイル ハッシュなどの特定のメタです。

Nodal Graph example

ノード

ノード グラフでは、円がノードを表します。次の表は、ノード グラフのノードのタイプの説明です。

                                        
ノード説明

IPアドレス

イベントが検出された異常である場合は、検知器のIPが表示されます。イベントがトランザクションの場合は、宛先IPとソースIPが表示されます。

MACアドレス

各タイプのIPアドレスのMACアドレスを確認できます。

ユーザ

マシンがユーザに関連づけられている場合、ユーザ ノードを確認できます。
ホストホストは、任意のサービスがインストールされている、FQDN(完全修飾ドメイン名)またはIPアドレスで指定された、物理的な機器または仮想マシンです。

ドメイン

 

ファイル名イベントにファイルが関連する場合、ファイル名を確認できます。

ファイル ハッシュ

イベントにファイルが関係する場合、ファイル ハッシュを確認できます。

ノード グラフの下部の凡例は、各タイプのノードの数と色を示します。また、IPアドレスなどの値がハッシュされたときに、エンティティを見つけるためにも役立ちます。

任意のノードをクリックし、ドラッグして位置を変更することができます。

矢印

ノード間の矢印は、エンティティの関係に関する追加情報を提供します。次の表は、ノード グラフの矢印のタイプの説明です。

                                    
矢印説明
Communicates withソース マシン ノード(IPアドレスまたはMACアドレス)と宛先マシン ノード間を結ぶ「communicates with」というラベルの矢印は、通信の方向を示します。
As「As」というラベルが付けられたノード間の矢印は、矢印の先のIPアドレスに関する追加情報を提供します。たとえば、IPアドレス ノードからホスト ノードへの矢印に「As」というラベルが付いている場合は、ホスト ノードの円上に表示された名前がそのIPアドレスのホスト名であり、別のエンティティではないことを示します。
Has fileマシン ノード(IPアドレス、MACアドレス、ホスト)とファイル ハッシュ ノードを結ぶ「has file」というラベルの矢印は、IPアドレスがそのファイルを持つことを示します。
Usesユーザ ノードとマシン ノード(IPアドレス、MACアドレス、ホスト)を結ぶ「uses」というラベルの矢印は、ユーザがイベント中に使用していたマシンを示します。
Is namedファイル ハッシュ ノードとファイル名ノードを結ぶ「is named」というラベルの矢印は、ファイル ハッシュがその名前のファイルのものであることを示します。
Belongs to2つのノードを結ぶ「belongs to」というラベルの矢印は、これらが同じノードに属することを示します。たとえば、「belongs to」というラベルが付けられたMACアドレスとホスト間の矢印は、それがホストのMACアドレスであることを示します。

矢印の線が太いほど、ノード間の通信が多いことを示します。大きなノード(円)は、小さいノードよりもアクティビティが多いことを示します。ノードが大きいほど、より多くのイベントに出現するエンティティであることを意味します。

イベント データシート

イベント データシートには、インシデントに関連するイベントが表示されます。イベント タイム、ソースIP、宛先IP、検知器IP、ソース ユーザ、宛先ユーザ、イベントに関するファイル情報など、イベントに関する情報が表示されます。表示される情報の量は、イベント タイプに依存します。

イベント データシートには、複数のイベントのイベント リストまたは1つのイベントのイベントの詳細が表示されます。

イベント リスト

次の図は、イベント リストを示しています。

Incident Details view Events List

次の表は、イベント リストの列を説明したものです。

                                                                           

説明

時間イベントの発生時刻を示します。
タイプ「Log」または「Network」などのアラートのタイプを示します。
ソースIP2台のマシン間のトランザクションがあった場合は、ソースIPアドレスを示します。
ソース ポートトランザクションのソース ポートを示します。ソース ポートと宛先ポートが同じIPアドレス上に存在する場合があります。
ソース ホストイベントが発生したソース ホストを示します。
ソースMACソース マシンのMACアドレスを示します。
ソース ユーザソース マシンのユーザを示します。
宛先IP2台のマシン間のトランザクションがあった場合は、宛先IPアドレスを示します。
宛先ポートトランザクションの宛先ポートを示します。ソース ポートと宛先ポートが同じIPアドレス上に存在する場合があります。
宛先ホスト宛先マシンのホスト名を示します。
宛先MAC宛先マシンのMACアドレスを示します。
宛先ユーザ宛先マシンのユーザを示します。
検知器のIP異常を検出したマシンのIPアドレスを示します。
ファイル名イベントにファイルが関連している場合は、ファイル名が表示されます。
ファイル ハッシュファイルの内容のハッシュを示します。

イベントの詳細

イベントの詳細を表示するには、イベント リストのイベントをクリックします。リストにイベントが1件しかない場合は、リストではなくそのイベントの詳細が表示されます。

Incident Details view Event Details

[ジャーナル]パネル

インシデントの[ジャーナル]パネルには、インシデントのアクティビティの履歴が表示されます。

Incident Details view Journal panel

以下の表では、[新しいジャーナル エントリー]のオプションについて説明します。

                        
フィールド説明

新しいジャーナル エントリー

このフィールドにメモを入力します。

マイルストーン

(オプション)該当する場合は、マイルストーンを選択します。このフィールドは、インシデントの重要なイベントをトラックするために使用されます。

送信]ボタン

[送信]をクリックすると、ジャーナルにエントリーが追加されます。ジャーナル エントリーは、そのインシデントを表示するすべてのユーザに表示されます。

[タスク]パネル

[タスク]パネルでは、インシデント タスクをクローズまで管理およびトラッキングできます。

Incident Details view Tasks panel

次の表に、[タスク]のフィールドの説明を示します。

                                                
フィールド説明

<タスクID> / <インシデントID>

自動生成されたタスクID/タスクに関連付けられたインシデント。

作成日時

タスクの作成日。

最終更新

タスクが最後に変更された日付。

オープンタスクが開かれてから経過した時間。3分前や2日前などです。

名前

タスクの名前。例:マシンの再イメージ化。このフィールドをクリックすると編集することができます。

割り当て先タスクに割り当てられたユーザのユーザ名。このフィールドをクリックすると編集することができます。

優先度

タスクの優先度。[低]、[中]、[高]、[クリティカル]の中から選択します。優先度ボタンをクリックし、ドロップダウン リストからタスクの新しい優先度を選択することができます。

ステータスタスクのステータス。[新規]、[割り当て済み]、[対応中]、[改善済み]、[リスク受容]、[該当なし]のいずれかが表示されます。ステータス ボタンをクリックし、ドロップダウン リストからタスクの新しいステータスを選択することができます。

説明

タスクについて説明するための情報を入力します。該当する参照番号を含めることができます。このフィールドをクリックすると編集することができます。

[関連インジケータ]パネル

[関連インジケータ]パネルでは、NetWitness Suiteアラート データベースを検索して、このインシデントに関連するアラートを探すことができます。見つかったアラートがインシデントにまだ関連付けられていない場合は、インシデントに追加できます。

Incident Details view Related Indicators panel

次の表では、パネルの上部にある検索セクションのフィールドについて説明します。

                            
フィールド説明

検索

アラート内で検索するエンティティを選択します。たとえば、[IP]を選択します。

エンティティの値を入力します。たとえば、エンティティの実際のIPアドレスを入力します。

期間

アラートを検索する時間範囲を選択します。たとえば、[直近24時間]を選択します。

検索]ボタン

検索を開始します。関連インジケータのリストが、[検索]ボタンの下の[次を含むインジケータ]セクションに表示されます。

次の表では、パネルの下部にある[次を含むインジケータ](結果)セクションのオプションについて説明します。

                            
オプション説明
次を含むインジケータ:検索結果を表示します。
新規ウィンドウで開く]リンクインジケータのアラートの詳細を表示します。

インシデントへの追加]ボタン

インシデントに関連インジケータを追加します。[インジケータ]パネルに、関連インジケータが追加されます。

このインシデントの一部]ボタン

インジケータがすでにインシデントに追加済みであることを示します。

ツールバーのアクション

                                                 
オプション説明
Back to Alerts icon (arrow pointing left)

([インシデントに戻る])[インシデント リスト]ビューに戻れます。

Close (X) icon パネルを閉じます。

Trash can (delete) icon

ジャーナル エントリーやタスクなどのエントリーを削除します。

優先度]ボタン([概要]パネル内)インシデント リストで選択した1つ以上のインシデントの優先度を変更できます。
ステータス]ボタン([概要]パネル内)選択した1つ以上のインシデントのステータスを変更できます。
割り当て先]ボタン([概要]パネル内)選択した1つ以上のインシデントの割り当て先を変更できます。
View Graph icon
(表示:グラフ)
ノード グラフを表示できます。
View Datasheet icon
(表示:データシート)
イベント データシートを表示できます。イベント データシートには、複数のイベントのイベント リストまたは1つのイベントのイベントの詳細が表示されます。
Journal, Tasks, and Related icon
(ジャーナル、タスク、関連)
[ジャーナル]パネル、[タスク]パネル、[関連インジケータ]パネルを表示できます。
You are here
Table of Contents > NetWitness Respondに関する参考情報 > [インシデントの詳細]ビュー

Attachments

    Outcomes