[アラート リスト]ビュー([対応]>[アラート])では、NetWitness Platformが受信したすべての脅威アラートおよびインジケータを1つの場所で表示することができます。これには、ESAの相関ルール、ESA Analytics、Malware Analysis、Reporting Engine、NetWitness Endpoint、その他多数から受信したアラートが含まれます。[アラート リスト]ビューでは、各種のアラートを表示し、フィルタとグループ化を行ってインシデントを作成できます。
ワークフロー
次のワークフローは、アナリストがアラートの確認やインシデントの作成に使用するプロセスの概要を示しています。
[アラート リスト]ビューでは、NetWitness Platformが受信したすべてのソースからのアラートのリストを確認することができます。その後、それらのアラートをさらに調査し、アラートからインシデントを作成したり、インシデントを作成するためのインシデント ルールを作成することができます。
注:NetWitness Platform自動脅威検出を使用すると、手動でルールを作成することなくインシデントを作成できます。
実行したいことは何ですか?
インシデント対応担当、 アナリスト | NetWitness Platformのすべてのアラートを表示する。* | アラートの表示 |
インシデント対応担当、 アナリスト | アラートをフィルタする。* | アラート リストのフィルタ |
インシデント対応担当、 アナリスト | アラートの概要情報とRAWアラート メタデータを表示する。* | アラートのサマリ情報の表示 |
インシデント対応担当、 アナリスト | アラートからインシデントを作成する。* | インシデントの手動作成 |
インシデント対応者、 アナリスト | (バージョン11.1以降で使用可能)既存のインシデントにアラートを追加する。* | アラートをインシデントに追加 |
管理者、 データ プライバシー責任者 | アラートを削除する。* | アラートの削除 |
SOCマネージャ、 管理者 | インシデント ルールを作成する。 | 「NetWitness Respond構成ガイド」の「アラートのインシデント ルールの作成」を参照してください。 |
インシデント対応者、アナリスト | アラートのイベントを調査する。 | アラートのイベント詳細の表示およびイベントの調査 |
インシデント対応者、 アナリスト | 既存のインシデントに関連するアラートを追加する。 | インシデントへの関連インジケータの追加 |
*これらのタスクはここ(つまり、[アラート リスト]ビュー)で完了できます。
関連トピック
簡単な説明
[アラート リスト]ビューにアクセスするには[対応]>[アラート]に移動します。[アラート リスト]ビューでは、NetWitness PlatformのRespond Serverデータベースが受信したすべてのアラートとインジケータのリストを表示できます。次の図の左側が[フィルタ]パネルです。
[アラート リスト]ビューは、[フィルタ]パネル、アラート リスト、アラートの[概要]パネルで構成されます。アラート リストでアラートをクリックすると、右側にアラートの[概要]パネルを表示することができます。
アラート リスト
アラート リストにはNetWitness Platformのすべてのアラートが表示されます。このリストをフィルタして、関心のあるアラートのみを表示することができます。
| 削除する1つまたは複数のアラートを選択できます。管理者やデータ プライバシー責任者など、適切な権限を持つユーザは、アラートを削除できます。 |
作成日時 | アラートがソース システムに記録された日時を表示します。 |
重大度 | アラートの重大度のレベルを表示します。値は1~100です。 |
NAME | アラートの基本的な説明を表示します。 |
ソース | アラートを生成したソースを表示します。アラートのソースは、NetWitness Endpoint、Malware Analysis、ESAの相関ルール、ESA Analytics、Reporting Engineなど多数あります。 |
イベント数 | アラートに含まれるイベントの数を示します。この値は、ソースによって異なります。たとえば、NetWitness EndpointアラートとMalware Analysisアラートでは、常にイベントの数が1つになります。特定のタイプのアラートでは、イベント数が多いとより高いリスクを示すことがあります。 |
ホスト サマリ | ホストの詳細(アラートをトリガーしたホスト名など)を表示します。 詳細には、 アラートのソース ホストや宛先ホストに関する情報が含まれる場合があります。アラートの中には、複数のホストのイベントが関係する場合があります。 |
インシデントID | アラートのインシデントIDを表示します。インシデントIDがない場合は、アラートがインシデントに属さないことを示します。このようなアラートは、新しいインシデントを作成してそこに追加するか、既存のインシデントに追加することできます。 |
リストの下部では、現在のページのアラート数、アラートの総数、選択したアラートの数を確認できます。次に例を挙げます。「377件中377件を表示中 | 3件選択済み」のように表示されます。
[フィルタ]パネル
次の図は、[フィルタ]パネルで使用可能なフィルタを示しています。
[アラート リスト]ビューの左側にある[フィルタ]パネルには、アラートのリストをフィルタするために使用できるオプションが表示されます。[フィルタ]パネルから移動しても、[アラート リスト]ビューではフィルタの選択項目が保持されます。
|
時間範囲 | [時間範囲]ドロップダウン リストから特定の期間を選択できます。時間範囲は、アラートを受信した日付に基づきます。たとえば、[直近1時間]を選択する場合は、過去60分以内に受信されたアラートが表示されます。 |
カスタムの日付範囲 | [時間範囲]オプションを選択する代わりに、特定の日付範囲を指定できます。これを行うには、[カスタムの日付範囲]の前にある白色の円をクリックし、[開始日]と[終了日]のフィールドを表示します。カレンダーから日付と時刻を選択します。
 |
タイプ | アラートのイベントのタイプ(ログ、ネットワーク セッションなど)を示します。 |
ソース | アラートの作成元を表示します。アラートのソースは、NetWitness Endpoint、Malware Analysis、Event Stream Analysis(ESA相関ルール)、ESA Analytics、Reporting Engine、Web Threat Detectionなど多数あります。 |
重大度 | アラートの重大度のレベルを表示します。値は1~100です。 |
インシデントに追加済み | アラートがインシデントに関連づけられているかどうかを分類します。インシデントに追加済みのアラートを表示するには、[はい]を選択します。インシデントに追加されていないアラートを表示するには、[いいえ]を選択します。たとえば、アラートからインシデントを作成する前に、[いいえ]を選択すると、インシデントに追加されていないアラートのみを表示することができます。 |
アラート名 | アラートの名前を表示します。このフィルタを使用すると、[悪意のあるIP:Reporting Engine]などの特定のルールまたはソースによって生成されたすべてのアラートを検索することができます。 |
フィルタのリセット | フィルタの選択を解除します。 |
アラート リストには、条件を満たすアラートのリストが表示されます。アラート リストの一番下では、フィルタ処理されたリストのアイテム数を確認できます。次に例を挙げます。「30件中30件を表示中」のように表示されます。
[概要]パネル
[概要]パネルには、選択したアラートおよびRAWアラート メタデータに関する基本的なサマリ情報が表示されます。[アラートの詳細]ビューの[概要]パネルには同じ情報が含まれていますが、[アラートの詳細]ビューではパネルを展開して詳細情報を表示することができます。
次の表に、アラートの[概要]パネルに表示されるフィールドを示します。
<アラート名> | アラートの名前を表示します。 |
インシデントID | アラートに関連づけられているインシデントIDを表示します。インシデントIDリンクをクリックすると、関連づけられているインシデントの[インシデントの詳細]ビューに移動することができます。インシデントIDがない場合、アラートはインシデントに属しません。このアラートのインシデントを作成することも、インシデントに追加することもできます。 |
作成日時 | アラートが作成された日時を表示します。 |
重大度 | アラートの重大度のレベルを表示します。値は1~100です。 |
ソース | アラートの作成元を表示します。アラートのソースは、NetWitness Endpoint、Malware Analysis、ESAの相関ルール、ESA Analytics、Reporting Engineなど多数あります。 |
タイプ | アラートのイベントのタイプ(ログ、 ネットワーク セッションなど)を示します。 |
イベント数 | アラートに含まれるイベントの数を示します。この値は、ソースによって異なります。たとえば、NetWitness EndpointアラートとMalware Analysisアラートでは、常にイベントの数が1つになります。特定のタイプのアラートでは、イベント数が多いとより高いリスクを示すことがあります。 |
RAWアラート | RAWアラート メタデータが表示されます。 |
ツールバーのアクション
この表には、[アラート リスト]ビューで使用できるツールバーのアクションが示されています。
|
 | アラートのリストに表示するアラートを制限するため、[フィルタ]パネルを開くことができます。 |
 | パネルを閉じます。 |
[インシデントの作成]ボタン | アラートからインシデントを作成できます。アラートをインシデントに追加することはできません。インシデントに属していないアラートのリストを取得するには、アラート リストをフィルタします。[インシデントに追加済み]セクションで、[いいえ]を選択します。 |
[インシデントへの追加]ボタン | (このオプションは、バージョン11.1以降で使用可能です。) 選択したアラートをインシデントに追加します。既にインシデントに追加済みのアラートは、インシデントに追加することはできません。まだインシデントに追加されていないアラートのリストを取得するには、アラート リストをフィルタします。[インシデントに追加済み]セクションで、[いいえ]を選択します。 |
[削除]ボタン | アラートを削除できます。 |