NetWitness Respondのインシデント対応プロセス

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suite Respondは、複数のソースからアラートを収集します。それらを論理的にグループ化し、インシデント対応ワークフローを開始して、発生したセキュリティの問題を調査、改善するための機能を提供します。NetWitness Suite Respondでは、アラートをインシデントに統合するルールを構成できます。アラートはシステムによって共通の形式に標準化されるため、ユーザは、データ ソースに関係なく、一貫した方法でルール条件を管理できます。ルール条件は、データ ソースに固有のフィールドや共通のフィールドを使用してアラート データに対するクエリを記述することにより構築できます。

ルール エンジンによって、類似するアラートはインシデントにグループ化され、このアラートのグループに対して調査および改善ワークフローを実行することができます。アラートが持つ1つまたは2つの属性値(ソースのホスト名など)や、アラートが報告されたタイム ウィンドウ(4時間以内のアラートなど)などによって、アラートをインシデントにグループ化するルールを作成できます。

アラートがルールと一致する場合、グループ化の条件に従ってインシデントが作成されます。新しいアラートが報告された時に、条件に一致するインシデントがすでに作成済みの場合、そのインシデントがまだ「対応中」でなければ、新しいアラートは同じインシデントに追加されます。新しいアラートの値が、既存のインシデントのグループ化に使用されている値(特定のホスト名など)またはタイム ウィンドウと一致しない場合は、新しいインシデントが作成され、そのインシデントにアラートが追加されます。 

インシデント ルールは複数設定できます。ルールでは、条件に一致したアラートをインシデントにグループ化するか、他のルールで評価されないよう抑制するかを選択できます。複数のルールを定義した場合、ルールは上から順に評価され、新しいアラートが最初に一致するルールのみが、そのアラートをインシデントに統合するために使用されます。インシデントは、アラートのコンテキスト情報を提供し、調査ステータスを記録するツールを提供し、改善の進行状況をトラッキングします。

NetWitness Respondのインシデント対応プロセスの各ステージは次のとおりです。

  • アラートのレビュー
  • インシデントの作成
  • インシデントへの対応:
    • 優先度別のインシデント リストのレビュー
    • アクションが必要なインシデントの判断
    • インシデントの調査
    • インシデントのエスカレーションまたは改善(タスクの作成、割り当て、クローズまでのトラッキングを含む)

NetWitness Respondの代わりにRSA NetWitness® SecOps Managerでインシデントを管理するオプションもあります。

NetWitness Respondのインシデント対応ワークフロー

次の図は、NetWitness Respondのインシデント対応ワークフロー プロセスの概要を示します。

 

NetWitness Respond High-Level Workflow

You are here
Table of Contents > NetWitness Respondのプロセス

Attachments

    Outcomes