対応:[インシデントの詳細]ビュー

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 4Show Document
  • View in full screen mode
 

[インシデントの詳細]ビュー([対応]>[インシデント]で、インシデント リストのIDまたは名前のハイパーリンクをクリック)では、インシデントの詳細にアクセスすることができます。[インシデントの詳細]ビューには、次の機能を提供する複数のパネルが含まれます。

  • 概要:インシデント サマリを表示し、インシデントを更新します。
  • インジケータ:インシデントに関連するインジケータ(アラート)、アラート内のイベント、使用可能なエンリッチメント情報を表示します。イベント分析の詳細にアクセスして、イベントのスキャンを実行することもできます。
  • ノード グラフ:エンティティ(IPアドレス、MACアドレス、ユーザ、ホスト、ドメイン、ファイル名、ファイル ハッシュ)のサイズと相互作用をビジュアル化します。
  • イベント データシート:インシデントに関連するイベントを調査します。
  • ジャーナル:メモを追加し、他のアナリストとの共同作業を行います。
  • タスク:インシデント タスクを作成し、クローズまでトラックします。
  • 関連インジケータ:インシデントに関連するインジケータ(アラート)を表示し、インシデントに関連付けられていない場合はインシデントに追加します。

[インシデントの詳細]ビューでデータをフィルタして、関心のあるインジケータおよびエンティティを調査することもできます。

ワークフロー

次のワークフローは、NetWitness Platformでインシデントに対応するためにインシデント対応者が使用するプロセスの概要を示しています。

Incident Details view workflow diagram

[インシデントの詳細]ビューでは、インシデントについて提供された広範な情報を使用して、どのインシデントにアクションが必要かを判断できます。また、インシデントを調査し、エスカレーションまたは改善するためのツールと情報も提供します。

実行したいことは何ですか?

                                                                                                       
ロール 実行したいこと手順

インシデント対応者、アナリスト、SOCマネージャ

優先度付けされたインシデントの表示、インシデント リストのフィルタとソート、インシデントの検索、担当インシデントの表示、自分へのインシデントの割り当て。

インシデントの優先順位リストの確認

インシデント対応者、アナリストインシデントの詳細の表示。*インシデントの詳細の表示
インシデント対応者、アナリストアラートとエンリッチメントの表示。*インジケータとエンリッチメントの表示
インシデント対応者、アナリストイベントの表示。*イベントの表示と調査
インシデント対応担当、アナリスト(追加のアクセス許可が必要)イベントのイベント分析を表示します。*「インジケータのイベント分析の詳細の表示」の表示
インシデント対応担当、アナリストイベントに関連するエンティティのグラフの表示。*イベントに関連するエンティティの表示と調査
インシデント対応者、アナリストインシデントのデータのフィルタ。*[インシデントの詳細]ビューでのデータのフィルタ処理
インシデント対応者、アナリストインシデント メモの表示と追加。*インシデント メモの表示」および「NetWitnessの外で実行した手順の記録
インシデント対応者、アナリストタスクの表示と作成。*インシデントに関連するタスクの表示」および「タスクの作成
インシデント対応者、アナリスト関連するアラートの検索と、インシデントへのアラートの追加。*関連インジケータの検索」および「インシデントへの関連インジケータの追加
インシデント対応者、アナリストContext Hubからのインシデントに関するコンテキスト情報の表示。*コンテキスト情報の表示
インシデント対応者、アナリスト

エンティティをホワイトリストに追加することによる誤検知の削減。*

ホワイトリストへのエンティティの追加

インシデント対応担当、アナリスト

NetWitness Investigateに移行します。*

[調査]>[ナビゲート]への移行

インシデント対応担当、アナリストNetWitness Endpointに移行する。*NetWitness Endpoint Thick Clientへの移行
インシデント対応者、アナリスト、SOCマネージャインシデントをArcher Cyber Incident & Breach Responseに送信します。*RSA Archerにインシデントを送信する
インシデント対応担当、アナリストインシデントの更新またはクローズ。*

インシデントの更新」および「インシデントのクローズ

インシデント対応者、アナリスト、SOCマネージャすべてのタスクの表示。

インシデントのエスカレーションまたは修正

インシデント対応者、アナリスト、SOCマネージャインシデントとタスクの一括更新。インシデントのエスカレーションまたは修正

*これらのタスクはここ(つまり、[インシデントの詳細]ビュー)で完了できます。

関連トピック

簡単な説明

次の例は、[インシデントの詳細]ビューのパネルの場所を示しています。

Incident Details view Quick Look Diagram

Incident Details view Quick Look Diagram showing Event Analysis in Respond

                                     
1 [概要]パネル(表示するには、[概要]タブをクリックします)。
2 [インジケータ]パネル
3 ノード グラフ
4 イベント データシート(イベントの詳細を表示するには、イベント リストのイベントをクリックします)。
5 [ジャーナル]パネル
6[タスク]パネル(表示するには、[タスク]タブをクリックします)。
7 [関連インジケータ]パネル(表示するには、[関連]タブをクリックします)。
8[イベント分析]パネル(インジケータ パネルでイベント タイプのハイパーリンクをクリックすると、イベント分析が表示されます)

[概要]パネル

[概要]パネルには、選択したインシデントに関する基本的なサマリ情報が表示されます。また、インシデント名を変更することや、インシデントの優先度、ステータス、割り当て先を更新することもできます。[インシデント リスト]ビューの[概要]パネルにも同じ情報が表示されます。詳細については、[インシデント リスト]ビューの「[概要]パネル」のトピックを参照してください。

Incident Details view Overview Panel

[インジケータ]パネル

[インジケータ]パネルには、インジケータの一覧が時系列に表示されます。インジケータは、ESAアラートやNetWitness Endpointアラートなどのアラートです。(タイムラインとは異なり、インシデント内のイベントのタイミングをビジュアル化して表示します)。このリストは、インジケータと注目すべきデータを関連づけるのに役立ちます。たとえば、コマンドおよび通信ESAアラートに関連するIPアドレスは、NetWitness Endpointアラートやその他の疑わしいアクティビティをトリガーする可能性があります。

[インジケータ]パネルを表示するには、[インシデントの詳細]ビューの左側のパネルで[インジケータ]を選択します。

Incident Details view Indicators panel

データ ソースの情報は、インジケータの名前の下に表示されます。インジケータの作成日と時刻、インジケータのイベントの数も確認できます。[インジケータ]パネルでは、リストされたインジケータに関連付けられたイベントをさらに詳しく見て、イベントの理解を深めることができます。

イベント分析

[インジケータ]パネルからイベント分析を実行することができます。EA(イベント分析)が先行したイベントでは、イベントのスキャン情報を確認できます。Event with EA icon visible[ネットワーク]などのイベント タイプのハイパーリンクを選択して、選択したイベントのイベント分析にアクセスできます。

[イベント分析]パネルでは、対話型機能を使用してRAWイベントとメタデータを表示できます。対話型機能により、意味のあるパターンをデータから検出する能力が向上します。ネットワーク、ログ、エンドポイントのイベントを調査できます。[対応]ビューの[イベント分析]パネルには、特定のインジケータ イベントについて[調査]の[イベント分析]ビューが表示されます。[イベント分析]ビューの詳細については、『NetWitness Investigateユーザ ガイド』を参照してください。

Event Analysis panel in the Respond Incident Details view

注:NetWitness Platformの11.2より前のバージョンから移行されたインシデントは、[対応]の[インシデントの詳細]ビューの[インジケータ]パネルで「イベント分析]パネルが表示されません。同様に、11.2より前のバージョンから移行されたアラートを使用して11.2でインシデントを作成した場合も、それらのインシデントの[対応]ビューにある[イベント分析]パネルを表示することはできません。

ノード グラフ

ノード グラフは、インシデントに関連するエンティティを表示する対話型のグラフです。エンティティは、IPアドレス、MACアドレス、ユーザ、ホスト、ドメイン、ファイル名、ファイル ハッシュなどの特定のメタです。

Nodal Graph example

Nodal graph showing a single user

ノード

ノード グラフでは、円がノードを表します。次の表は、ノード グラフのノードのタイプの説明です。

                                        
ノード説明

IPアドレス

イベントが検出された異常である場合は、検知器のIPが表示されます。イベントがトランザクションの場合は、宛先IPとソースIPが表示されます。

MACアドレス

各タイプのIPアドレスのMACアドレスを確認できます。

ユーザ

マシンがユーザに関連づけられている場合、ユーザ ノードを確認できます。
ホストホストは、任意のサービスがインストールされている、FQDN(完全修飾ドメイン名)またはIPアドレスで指定された、物理的な機器または仮想マシンです。

ドメイン

 

ファイル名イベントにファイルが関連する場合、ファイル名を確認できます。

ファイル ハッシュ

イベントにファイルが関係する場合、ファイル ハッシュを確認できます。

ノード グラフの下部の凡例は、各タイプのノードの数と色を示します。また、IPアドレスなどの値がハッシュされたときに、エンティティを見つけるためにも役立ちます。

任意のノードをクリックし、ドラッグして位置を変更することができます。

NetWitness Platformバージョン11.2以降では、凡例のチェックボックスをオフまたはオンにすることで、表示するノード タイプを選択できます。次の図は、IPを除くすべてのノード タイプが選択されたノード グラフの凡例の例を示しています。
Nodal Graph legend with all node types selected except IP

矢印

ノード間の矢印は、エンティティの関係に関する追加情報を提供します。次の表は、ノード グラフの矢印のタイプの説明です。

                                    
矢印説明
Communicates withソース マシン ノード(IPアドレスまたはMACアドレス)と宛先マシン ノード間を結ぶ「communicates with」というラベルの矢印は、通信の方向を示します。
As「As」というラベルが付けられたノード間の矢印は、矢印の先のIPアドレスに関する追加情報を提供します。たとえば、IPアドレス ノードからホスト ノードへの矢印に「As」というラベルが付いている場合は、ホスト ノードの円上に表示された名前がそのIPアドレスのホスト名であり、別のエンティティではないことを示します。
Has fileマシン ノード(IPアドレス、MACアドレス、ホスト)とファイル ハッシュ ノードを結ぶ「has file」というラベルの矢印は、IPアドレスがそのファイルを持つことを示します。
Usesユーザ ノードとマシン ノード(IPアドレス、MACアドレス、ホスト)を結ぶ「uses」というラベルの矢印は、ユーザがイベント中に使用していたマシンを示します。
Is namedファイル ハッシュ ノードとファイル名ノードを結ぶ「is named」というラベルの矢印は、ファイル ハッシュがその名前のファイルのものであることを示します。
Belongs to2つのノードを結ぶ「belongs to」というラベルの矢印は、これらが同じノードに属することを示します。たとえば、「belongs to」というラベルが付けられたMACアドレスとホスト間の矢印は、それがホストのMACアドレスであることを示します。

矢印の線が太いほど、ノード間の通信が多いことを示します。大きなノード(円)は、小さいノードよりもアクティビティが多いことを示します。ノードが大きいほど、より多くのイベントに出現するエンティティであることを意味します。

イベント データシート

イベント データシートには、インシデントに関連するイベントが表示されます。イベント タイム、ソースIP、宛先IP、検知器IP、ソース ユーザ、宛先ユーザ、イベントに関するファイル情報など、イベントに関する情報が表示されます。表示される情報の量は、イベント タイプに依存します。

イベント データシートには、複数のイベントのイベント リストまたは1つのイベントのイベントの詳細が表示されます。

イベント リスト

次の図は、イベント リストを示しています。

Incident Details view Events List

次の表は、イベント リストの列を説明したものです。

                                                                           

説明

時間イベントの発生時刻を示します。
タイプ「Log」または「Network」などのアラートのタイプを示します。
ソースIP2台のマシン間のトランザクションがあった場合は、ソースIPアドレスを示します。
ソース ポートトランザクションのソース ポートを示します。ソース ポートと宛先ポートが同じIPアドレス上に存在する場合があります。
ソース ホストイベントが発生したソース ホストを示します。
ソースMACソース マシンのMACアドレスを示します。
ソース ユーザソース マシンのユーザを示します。
宛先IP2台のマシン間のトランザクションがあった場合は、宛先IPアドレスを示します。
宛先ポートトランザクションの宛先ポートを示します。ソース ポートと宛先ポートが同じIPアドレス上に存在する場合があります。
宛先ホスト宛先マシンのホスト名を示します。
宛先MAC宛先マシンのMACアドレスを示します。
宛先ユーザ宛先マシンのユーザを示します。
検知器のIP異常を検出したマシンのIPアドレスを示します。
ファイル名イベントにファイルが関連している場合は、ファイル名が表示されます。
ファイル ハッシュファイルの内容のハッシュを示します。

イベントの詳細

イベントの詳細を表示するには、イベント リストのイベントをクリックします。リストにイベントが1件しかない場合は、リストではなくそのイベントの詳細のみが表示されます。

Incident Details view Event Details

[ジャーナル]パネル

インシデントの[ジャーナル]パネルには、インシデントのアクティビティの履歴が表示されます。

Incident Details view Journal panel

以下の表では、[新しいジャーナル エントリー]のオプションについて説明します。

                        
フィールド説明

新しいジャーナル エントリー

このフィールドにメモを入力します。

マイルストーン

(オプション)該当する場合は、マイルストーンを選択します。このフィールドは、インシデントの重要なイベントをトラックするために使用されます。

送信]ボタン

[送信]をクリックすると、ジャーナルにエントリーが追加されます。ジャーナル エントリーは、そのインシデントを表示するすべてのユーザに表示されます。

[タスク]パネル

[タスク]パネルでは、インシデント タスクをクローズまで管理およびトラッキングできます。

Incident Details view Tasks panel

次の表に、[タスク]のフィールドの説明を示します。

                                                
フィールド説明

<タスクID> / <インシデントID>

自動生成されたタスクID/タスクに関連付けられたインシデント。

作成日時

タスクの作成日。

最終更新

タスクが最後に変更された日付。

オープンタスクが開かれてから経過した時間。3分前や2日前などです。

NAME

タスクの名前。次に例を挙げます。マシンの再イメージ化。このフィールドをクリックすると編集することができます。

割り当て先タスクに割り当てられたユーザのユーザ名。このフィールドをクリックすると編集することができます。

優先度

タスクの優先度。[低]、[中]、[高]、[クリティカル]の中から選択します。優先度ボタンをクリックし、ドロップダウン リストからタスクの新しい優先度を選択することができます。

ステータスタスクのステータス。[新規]、[割り当て済み]、[対応中]、[改善済み]、[リスク受容]、[該当なし]のいずれかが表示されます。ステータス ボタンをクリックし、ドロップダウン リストからタスクの新しいステータスを選択することができます。

説明

タスクについて説明するための情報を入力します。該当する参照番号を含めることができます。このフィールドをクリックすると編集することができます。

[関連インジケータ]パネル

[関連インジケータ]パネルでは、NetWitness Platformアラート データベースを検索して、このインシデントに関連するアラートを探すことができます。見つかったアラートがインシデントにまだ関連付けられていない場合は、インシデントに追加できます。

Incident Details view Related Indicators panel

次の表では、パネルの上部にある検索セクションのフィールドについて説明します。

                            
フィールド説明

検索

アラート内で検索するエンティティを選択します。たとえば、[IP]を選択します。

エンティティの値を入力します。たとえば、エンティティの実際のIPアドレスを入力します。

期間

アラートを検索する時間範囲を選択します。たとえば、[直近24時間]を選択します。

検索]ボタン

検索を開始します。関連インジケータのリストが、[検索]ボタンの下の[次を含むインジケータ]セクションに表示されます。

次の表では、パネルの下部にある[インジケータ](結果)セクションのオプションについて説明します。

                            
オプション説明
次を含むインジケータ:検索結果を表示します。
新規ウィンドウで開く]リンクインジケータのアラートの詳細を表示します。

インシデントへの追加]ボタン

インシデントに関連インジケータを追加します。[インジケータ]パネルに、関連インジケータが追加されます。

このインシデントの一部]ボタン

インジケータがすでにインシデントに追加済みであることを示します。

ツールバーのアクション

                                                     
オプション説明
Back to Alerts icon (arrow pointing left)

([インシデントに戻る])[インシデント リスト]ビューに戻れます。

Close (X) icon パネルを閉じます。

Trash can (delete) icon

ジャーナル エントリーやタスクなどのエントリーを削除します。

優先度]ボタン([概要]パネル内)インシデント リストで選択した1つ以上のインシデントの優先度を変更できます。
ステータス]ボタン([概要]パネル内)選択した1つ以上のインシデントのステータスを変更できます。
割り当て先]ボタン([概要]パネル内)選択した1つ以上のインシデントの割り当て先を変更できます。
View Graph icon
(表示:グラフ)
ノード グラフを表示できます。
View Datasheet icon
(表示:データシート)
イベント データシートを表示できます。イベント データシートには、複数のイベントのイベント リストまたは1つのイベントのイベントの詳細が表示されます。
Journal, Tasks, and Related icon
(ジャーナル、タスク、関連)
[ジャーナル]パネル、[タスク]パネル、[関連インジケータ]パネルを表示できます。
Show / Hide icons in the Event Analysis panel for Header, Request, Response, and Meta [インシデントの詳細の表示]ビューの[イベント分析]パネルで、ヘッダー、要求、対応、メタの表示/非表示を切り替えることができます。[イベント分析]ビューの詳細については、『NetWitness Investigateユーザ ガイド』を参照してください。
You are here
Table of Contents > NetWitness Respondに関する参考情報 > [インシデントの詳細]ビュー

Attachments

    Outcomes