NetWitness Respondのインシデント対応プロセス

Document created by RSA Information Design and Development Employee on Oct 16, 2018Last modified by RSA Information Design and Development Employee on Apr 29, 2019
Version 4Show Document
  • View in full screen mode
 

NetWitness Respondは複数のソースからアラートを収集するだけでなく、それらを論理的にグループ化し、インシデント対応ワークフローを開始して、発生したセキュリティの問題を調査して修復する能力を提供します。NetWitness Respondはアラートをインシデントに集約するルールを構成できます。アラートは、データ ソースに関係なく、ルール条件に対する整合性のあるビューをユーザに提供するために、システムによって共通の形式に正規化されます。ルール条件は、データ ソースに固有のフィールドや共通のフィールドを使用してアラート データに対するクエリを記述することにより構築できます。

ルール エンジンによって、類似するアラートはインシデントにグループ化され、このアラートのグループに対して調査および改善ワークフローを実行することができます。アラートが持つ1つまたは2つの属性値(ソースのホスト名など)や、アラートが報告されたタイム ウィンドウ(4時間以内のアラートなど)などによって、アラートをインシデントにグループ化するルールを作成できます。

アラートがルールと一致する場合、グループ化の条件に従ってインシデントが作成されます。新しいアラートが報告された時に、条件に一致するインシデントがすでに作成済みの場合、そのインシデントがまだ「対応中」でなければ、新しいアラートは同じインシデントに追加されます。新しいアラートの値が、既存のインシデントのグループ化に使用されている値(特定のホスト名など)またはタイム ウィンドウと一致しない場合は、新しいインシデントが作成され、そのインシデントにアラートが追加されます。 

インシデント ルールは複数設定できます。ルールでは、条件に一致したアラートをインシデントにグループ化するか、他のルールで評価されないよう抑制するかを選択できます。複数のルールを定義した場合、ルールは上から順に評価され、新しいアラートが最初に一致するルールのみが、そのアラートをインシデントに統合するために使用されます。インシデントは、アラートのコンテキスト情報を提供し、調査ステータスを記録するツールを提供し、改善の進行状況をトラッキングします。

NetWitness Respondのインシデント対応プロセスの各ステージは次のとおりです。

  • アラートのレビュー
  • インシデントの作成
  • インシデントへの対応:
    • 優先度別のインシデント リストのレビュー
    • アクションが必要なインシデントの判断
    • インシデントの調査
    • インシデントをエスカレートまたは修復します(これには、タスクの作成と割り当て以外にも、タスクのクローズまで追跡することが含まれます。バージョン11.2以降では、RSA ArcherがContext Hubでデータ ソースとして構成されている場合、インシデントをRSA Archer® Cyber Incident & Breach Responseに送信できます)。

NetWitness Respondの代わりにArcher Cyber Incident & Breach Responseでインシデントを管理するオプションもあります。

NetWitness Respondのインシデント対応ワークフロー

次の図は、NetWitness Respondのインシデント対応ワークフロー プロセスの概要を示します。

 

NetWitness Respond High-Level Workflow

You are here
Table of Contents > NetWitness Respondのプロセス

Attachments

    Outcomes