対応:[アラート リスト]ビュー

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

[アラート リスト]ビュー([対応]>[アラート])では、NetWitness Suiteが受信したすべての脅威アラートおよびインジケータを1つの場所で表示することができます。これには、ESAの相関ルール、ESA Analytics、Malware Analysis、Reporting Engine、NetWitness Endpoint、その他多数から受信したアラートが含まれます。[アラート リスト]ビューでは、各種のアラートを表示し、フィルタとグループ化を行ってインシデントを作成できます。

ワークフロー

次のワークフローは、アナリストがアラートの確認やインシデントの作成に使用するプロセスの概要を示しています。

Incident List view workflow diagram

[アラート リスト]ビューでは、NetWitness Suiteが受信したすべてのソースからのアラートのリストを確認することができます。その後、それらのアラートをさらに調査し、アラートからインシデントを作成したり、インシデントを作成するためのインシデント ルールを作成することができます。

注:NetWitness Suite自動脅威検出を使用すると、手動でルールを作成することなくインシデントを作成できます。

実行したいことは何ですか?

                                                          
ロール実行したいこと手順
インシデント対応者、
アナリスト
NetWitness Suiteのすべてのアラートを表示する。*アラートの表示
インシデント対応者、
アナリスト
アラートをフィルタする。*アラート リストのフィルタ

インシデント対応者、
アナリスト

アラートの概要情報とRAWアラート メタデータを表示する。*

アラートのサマリ情報の表示

インシデント対応者、
アナリスト
アラートからインシデントを作成する。*インシデントの手動作成

インシデント対応者、
アナリスト

(バージョン11.1以降で使用可能)既存のインシデントにアラートを追加する。*

アラートをインシデントに追加

管理者、
データ プライバシー責任者

アラートを削除する。*

アラートの削除

SOCマネージャ、
管理者
インシデント ルールを作成する。

NetWitness Respond構成ガイド」の「アラートのインシデント ルールの作成」を参照してください。

インシデント対応者、アナリスト アラートのイベントを調査する。

アラートのイベント詳細の表示およびイベントの調査

インシデント対応者、
アナリスト

既存のインシデントに関連するアラートを追加する。

インシデントへの関連インジケータの追加

*これらのタスクはここ(つまり、[アラート リスト]ビュー)で完了できます。

関連トピック

[アラート リスト]ビュー

[アラート リスト]ビューにアクセスするには[対応]>[アラート]に移動します。[アラート リスト]ビューでは、NetWitness SuiteのRespond Serverデータベースが受信したすべてのアラートとインジケータのリストを表示できます。次の図の左側が[フィルタ]パネルです。

Alerts List view

[アラート リスト]ビューは、[フィルタ]パネル、アラート リスト、アラートの[概要]パネルで構成されます。アラート リストでアラートをクリックすると、右側にアラートの[概要]パネルを表示することができます。

Alerts List view showing the Alert Overview panel

アラート リスト

アラート リストにはNetWitness Suiteのすべてのアラートが表示されます。このリストをフィルタして、関心のあるアラートのみを表示することができます。

Alerts List

                                           

説明

Checkbox icon 削除する1つまたは複数のアラートを選択できます。管理者やデータ プライバシー責任者など、適切な権限を持つユーザは、アラートを削除できます。
作成日時アラートがソース システムに記録された日時を表示します。
重大度 アラートの重大度のレベルを表示します。値は1~100です。
名前アラートの基本的な説明を表示します。
ソース アラートを生成したソースを表示します。アラートのソースは、NetWitness Endpoint、Malware Analysis、ESAの相関ルール、ESA Analytics、Reporting Engine、その他多数です。
イベント数アラートに含まれるイベントの数を示します。この値は、ソースによって異なります。たとえば、NetWitness EndpointアラートとMalware Analysisアラートでは、常にイベントの数が1つになります。特定のタイプのアラートでは、イベント数が多いとより高いリスクを示すことがあります。
ホスト サマリホストの詳細(アラートをトリガーしたホスト名など)を表示します。詳細には、アラートのソース ホストや宛先ホストに関する情報が含まれる場合があります。 アラートの中には、複数のホストのイベントが関係する場合があります。
インシデントIDアラートのインシデントIDを表示します。インシデントIDがない場合は、アラートがインシデントに属さないことを示します。このようなアラートは、新しいインシデントを作成してそこに追加するか、既存のインシデントに追加することできます。

リストの下部では、現在のページのアラート数、アラートの総数、選択したアラートの数を確認できます。例えば、「377件中377件を表示中 | 3件選択済み」のように表示されます。

[フィルタ]パネル

次の図は、[フィルタ]パネルで使用可能なフィルタを示しています。

Alerts List Filter panel

[アラート リスト]ビューの左側にある[フィルタ]パネルには、アラートのリストをフィルタするために使用できるオプションが表示されます。[フィルタ]パネルから移動しても、[アラート リスト]ビューではフィルタの選択項目が保持されます。

                                            
オプション説明
時間範囲 [時間範囲]ドロップダウン リストから特定の期間を選択できます。時間範囲は、アラートを受信した日付に基づきます。たとえば、[直近1時間]を選択する場合は、過去60分以内に受信されたアラートが表示されます。
カスタムの日付範囲 [時間範囲]オプションを選択する代わりに、特定の日付範囲を指定できます。これを行うには、[カスタムの日付範囲]の前にある白色の円をクリックし、[開始日]と[終了日]のフィールドを表示します。カレンダーから日付と時刻を選択します。
Custom Date Range
タイプアラートのイベントのタイプ(ログ、ネットワーク セッションなど)を示します。

ソース

アラートの作成元を表示します。アラートのソースは、NetWitness Endpoint、Malware Analysis、Event Stream Analysis(ESA相関ルール)、ESA Analytics、Reporting Engine、Web Threat Detection、その他多数です。

重大度アラートの重大度のレベルを表示します。値は1~100です。 

インシデントに追加済み

アラートがインシデントに関連づけられているかどうかを分類します。インシデントに追加済みのアラートを表示するには、[はい]を選択します。インシデントに追加されていないアラートを表示するには、[いいえ]を選択します。たとえば、アラートからインシデントを作成する前に、[いいえ]を選択すると、インシデントに追加されていないアラートのみを表示することができます。

アラート名

アラートの名前を表示します。このフィルタを使用すると、[悪意のあるIP:Reporting Engine]などの特定のルールまたはソースによって生成されたすべてのアラートを検索することができます。

フィルタのリセットフィルタの選択を解除します。

アラート リストには、条件を満たすアラートのリストが表示されます。アラート リストの一番下では、フィルタ処理されたリストのアイテム数を確認できます。例えば、「30件中30件を表示中」のように表示されます。

[概要]パネル

[概要]パネルには、選択したアラートおよびRAWアラート メタデータに関する基本的なサマリ情報が表示されます。[アラートの詳細]ビューの[概要]パネルには同じ情報が含まれていますが、[アラートの詳細]ビューではパネルを展開して詳細情報を表示することができます。

Alert Overview panel

次の表に、アラートの[概要]パネルに表示されるフィールドを示します。

                                           

フィールド

説明

<アラート名> アラートの名前を表示します。
インシデントIDアラートに関連づけられているインシデントIDを表示します。インシデントIDリンクをクリックすると、関連づけられているインシデントの[インシデントの詳細]ビューに移動することができます。インシデントIDがない場合、アラートはインシデントに属しません。このアラートのインシデントを作成することも、インシデントに追加することもできます。
作成日時アラートが作成された日時を表示します。
重大度アラートの重大度のレベルを表示します。値は1~100です。 
ソースアラートの作成元を表示します。アラートのソースは、NetWitness Endpoint、Malware Analysis、ESAの相関ルール、ESA Analytics、Reporting Engine、その他多数です。
タイプアラートのイベントのタイプ(ログ、 ネットワーク セッションなど)を示します。
イベント数アラートに含まれるイベントの数を示します。この値は、ソースによって異なります。たとえば、NetWitness EndpointアラートとMalware Analysisアラートでは、常にイベントの数が1つになります。特定のタイプのアラートでは、イベント数が多いとより高いリスクを示すことがあります。
RAWアラートRAWアラート メタデータが表示されます。

ツールバーのアクション

この表には、[アラート リスト]ビューで使用できるツールバーのアクションが示されています。

                                 
オプション説明
Filter icon

アラート リストに表示するアラートを制限するため、[フィルタ]パネルを開くことができます。

Close (X) icon

パネルを閉じます。

インシデントの作成]ボタン

アラートからインシデントを作成できます。アラートをインシデントに追加することはできません。インシデントに属していないアラートのリストを取得するには、アラート リストをフィルタします。[インシデントに追加済み]セクションで、[いいえ]を選択します。

インシデントへの追加]ボタン

(このオプションは、バージョン11.1以降で使用可能です。)
選択したアラートをインシデントに追加します。既にインシデントに追加済みのアラートは、インシデントに追加することはできません。まだインシデントに追加されていないアラートのリストを取得するには、アラート リストをフィルタします。[インシデントに追加済み]セクションで、[いいえ]を選択します。
削除]ボタンアラートを削除できます。
You are here
Table of Contents > NetWitness Respondに関する参考情報 > [アラート リスト]ビュー

Attachments

    Outcomes