Context Hubサービスでは、アナリストが分析を行い適切なアクションを行う際により的確な意思決定を行えるように、複数のデータ ソースから得られるコンテキスト情報を[対応]ビューに統合します。エンティティ、メタ値、コンテキスト情報を単一のインタフェースで確認できるため、アナリストは関心のある領域を特定することができます。たとえば、アナリストが特定のエンティティまたはメタ値の追加情報のクエリを実行すると、そのエンティティまたはメタ値に関して[対応]ビューで最近作成されたインシデントやアラートが表示されます。[コンテキスト ルックアップ]パネルには、IPアドレス、ユーザ、ホスト名、ドメイン、ファイル名、ファイル ハッシュなどの選択したエンティティまたはメタ値に関するコンテキスト情報が表示されます。使用可能なデータは、Context Hubに構成済みのソースによって異なります。
[コンテキスト ルックアップ]パネルには、Context Hubに構成されたソースで使用可能なデータからコンテキスト情報が表示されます。
実行したいことは何ですか?
| インシデント対応者、アナリスト、脅威ハンター | [コンテキスト ルックアップ]パネルへの移動。 | [インシデントの詳細]ビューから行う場合は、「コンテキスト情報の表示 」を参照してください。 [アラートの詳細]ビューから行う場合は、「コンテキスト情報の表示 」を参照してください。 |
| インシデント対応者、アナリスト、脅威ハンター | 選択したエンティティの[コンテキスト ルックアップ]パネルの情報について理解する。 | このトピックの情報を参照してください。 |
| 管理者 | Context Hubのデータ ソースの構成。 | 「Context Hub構成ガイド」の「Context Hubのデータ ソースの構成」を参照してください。 |
| 管理者 | Context Hubの設定の構成。 | 「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」を参照してください。 |
関連トピック
[コンテキスト ルックアップ]パネルに表示されるコンテキスト情報
[コンテキスト ルックアップ]パネルに表示されるコンテキスト情報やクエリの結果は、選択したエンティティと関連するデータ ソースに依存します。
[コンテキスト ルックアップ]パネルには、データ ソースごとに個別のタブがあります。[リスト]タブがコンテキスト パネルに最初に表示され、[Archer]、[Endpoint]、[インシデント]、[アラート]、[Live Connect]が続きます。
次の図は、[インシデントの詳細]ビューで選択したエンティティの[コンテキスト ルックアップ]パネルを示しています。[コンテキスト ルックアップ]パネルの[インシデント]タブが表示されています。
次の表は、各タブおよびサポートされるエンティティで使用可能なデータを示しています。
| 
(リスト) | 選択したエンティティまたはメタ値に関連付けられているすべてのリストのデータを表示します。リストの最終更新日時によってソートされます。 | すべてのエンティティ |
(Archer) | Archerデータ ソースから、重要度評価と資産情報を表示します。 | IPとホスト |
| 
(Active Directory) | 選択したユーザのすべてのユーザ情報を表示します。 | ユーザ |
| 
(NetWitness Endpoint)
| マシン、モジュール、IIOCレベルを含む選択したエンティティまたはメタ値のNetWitness Endpointデータ ソースの情報を表示します。モジュールは最大IOCスコアから最小IIOCスコアの順にソートされ、IIOCレベルは最高IOCレベルから最低IOCレベルの順にソートされます。 | IP、MACアドレス、ホスト |
(インシデント) | 選択したエンティティまたはメタ値に関連付けられているインシデントのリストを表示します。最新のインシデントから最も古いインシデントの順にソートされます。 | すべてのエンティティ |
(アラート) | 選択したエンティティまたはメタ値に関連付けられているアラートのリストを表示します。最新のアラートから最も古いアラートの順にソートされます。 | すべてのエンティティ |
(Live Connect) | Live Connectから関連する情報を表示します。 | IP、ドメイン、Filehash |
リスト
[コンテキスト ルックアップ]パネルの[リスト]タブには、選択したエンティティまたはメタ値に関連する1つ以上のリストが表示されます。次の図は、[コンテキスト ルックアップ]パネルの[リスト]タブの例です。
リストについて次の情報が表示されます。
| 名前 | リストの名前(リストの作成時に定義)。 |
| 説明 | リストの説明(リストの作成時に定義)。 |
| 作成者 | リストを作成したオーナー。 |
| 作成日時 | リストが作成された日付。 |
| 更新日 | リストが最後に更新または変更された日付。 |
| 件数 | 選択したエンティティまたはメタ値が使用可能なリストの数。 |
| タイム ウィンドウ | これは[Respondの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、[リスト]のすべてのデータがフェッチされます。 |
| 最終更新 | Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。 |
Archer
[コンテキスト ルックアップ]パネルの[Archer]タブには、IPおよびホストのエンティティとメタ値について、Archerデータ ソースから取得した重要度評価と資産情報が表示されます。次の図は、[コンテキスト ルックアップ]パネルの[Archer]タブの例です。
Archerについて次の情報が表示されます。
| 重要度評価 | デバイスがサポートするアプリケーションに基づいて算出されたデバイスの業務上の重要度を表示します。重要度評価は、未評価、低、中-低、中、 中-高、高のいずれかに設定されます。 |
| デバイスID | システム内でデバイス レコードを一意に識別する、自動的に設定された値を表示します。 |
| デバイス名 | デバイスの固有の名前を表示します。 |
| デバイス管理責任者 | デバイスを担当し、レコードの読み取りおよび更新権限を持つデバイスの管理責任者を表示します。 |
| ホスト名 | デバイスのホスト名を表示します。 |
| 施設 | このデバイスに関連する施設アプリケーション内のレコードへのリンクを提供します。 |
| ビジネス ユニット | このデバイスに関連するビジネス ユニット アプリケーション内のレコードへのリンクを提供します。 |
| リスク評価 | 最新のアセスメント結果と、このデバイスを使用する施設の平均リスク評価から、デバイスのリスク評価を計算します。リスク評価は、重大、高、中、低、最低のいずれかに設定されます。 |
| タイプ | サーバ、ノートパソコン、デスクトップなどのデバイス タイプを表示します。 |
| IPアドレス | デバイスのプライマリ内部IPアドレスを表示します。 |
| 件数 | 使用可能な資産の数を表示します。 |
| タイム ウィンドウ | これは[Respondの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、Archerのすべてのデータを取得します。 |
| 最終更新 | Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。 |
Active Directory
次の図は、[Active Directory]の[コンテキスト]パネルの例です。
Active Directoryの[コンテキスト ルックアップ]パネルには、ユーザのすべての関連情報、インシデント、アラートが表示されます。次の形式を使用して検索を実行できます。
- userPrincipalName
- Domain\UserName
- sAMAccountName
マルチ ドメインまたはマルチ フォレストのユーザが存在する場合は、特定のユーザのすべての関連コンテキスト情報が表示されます。
Active Directoryについて次の情報が表示されます。
| 表示名 | 特定のユーザの名前を表示します。 |
| 従業員ID
| 特定のユーザの従業員IDを表示します。 |
| 電話番号 | 特定のユーザの電話番号を表示します。 |
| メール | 特定のユーザのメールIDを表示します。 |
| ADユーザID | 組織内の特定のユーザの固有のIDを表示します。 |
| 役職
| 特定のユーザの役職を表示します。 |
| マネージャ
| マネージャの名前を表示します。 |
| グループ
| 特定のユーザがメンバーであるグループのリストを表示します。 |
| 会社
| 特定のユーザが所属する会社の名前を表示します。 |
| 部門
| 特定のユーザが所属する組織内の部門名を表示します。 |
| 所在地 | 特定のユーザの所在地を表示します。 |
| 最終ログオン
| グローバル カタログが定義されている場合にのみ、特定のユーザがシステムにログインした時刻を表示します。 |
| 最終ログオンのタイム スタンプ | 特定のユーザがシステムにログインした時刻を表示します。 |
| 識別名 | ユーザに割り当てられている固有の名前を表示します。 |
| 件数 | ユーザの数を表示します。 |
| タイム ウィンドウ | これは[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、Active Directoryのすべてのデータをフェッチします。 |
| 最終更新 | Context Hubがルックアップ データを取得してキャッシュに保存した時刻。 |
NetWitness Endpoint
[コンテキスト ルックアップ]パネルの[NetWitness Endpoint]タブには以下の情報が表示されます。
IIOCについて次の情報が表示されます。
| モジュール数 | 検索されたモジュール数を表示します。 |
| 管理ステータス | 管理ステータスを表示します(ある場合)。 |
| 最終更新 | データが最後に更新された時刻を表示します。 |
| 最終ログイン | ユーザが最後にログインした時刻を表示します。 |
| MACアドレス | マシンのMACアドレス。 |
| オペレーティング システム | NetWitness Endpointマシンで使用されるオペレーティング システムのバージョン。 |
| マシン ステータス | 検索されたモジュールがオンライン、オフライン、アクティブ、非アクティブのいずれであるかを表示します。 |
| IPアドレス | 特定のモジュールのIPアドレスを表示します。 |
モジュールについて次の情報が表示されます。
| IIOCスコア | マシンIIOCスコアは、モジュールのスコアに基づいて集計されたスコアです。これは、Context Hubのデータ ソース設定の[最小IIOCスコア]に設定された値に基づいています。[最小IIOCスコア]のデフォルト値は500です。「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」のトピックを参照してください。 |
| モジュール名 | 検索されたモジュールの名前。 |
| 解析スコア | 選択したマシンのアクティブなファイルの数。 |
| マシン数 | NetWitness Endpointデータベースでスキャン結果が最後に更新された時刻を示します。 |
| 署名 | ファイルが署名されているかどうかと、有効か無効かを示し、GoogleやAppleなどの署名情報を提供します。 |
マシンについて次の情報が表示されます。
| IOCレベル | IOCレベルを表示します。 |
| 説明 | 使用可能な場合に、IOCレベルの説明を表示します。 |
| 前回の実行 | アクションが実行された時刻を表示します。 |
| 件数 | 検索されたホスト数を表示します。 |
| タイム ウィンドウ | これは[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、NetWitness Endpointのすべてのデータを取得します。 |
| 最終更新 | NetWitness Endpointデータベースでスキャン結果が最後に更新された時刻を示します。 |
アラート
次の図は、最初に時間(新しい順)次に重大度に基づいて表示された[アラート]の[コンテキスト]パネルの例です。
[コンテキスト ルックアップ]パネルの[アラート]タブには以下の情報が表示されます。
| 作成日時 | アラートが作成された日時。 |
| 重大度 | アラートの重大度の値 |
| 名前 | アラートの名前。名前をクリックすると特定のアラートの詳細が表示されます。 |
| ソース | アラートをトリガーしたアラート ソースの名前。 |
| イベント数 | アラートに関連するイベントの数。 |
| インシデントID | アラートが関連づけられているインシデントのIDです(該当する場合)。IDをクリックすると特定のインシデントの詳細が表示されます。 |
| 件数 | アラートの数を表示します。デフォルトでは、最初の100件のアラートのみが表示されます。設定の構成方法の詳細については、「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」のトピックを参照してください。 |
| タイム ウィンドウ | これは[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、過去7日間のアラート データを取得します。 |
| 最終更新 | データ ソースからコンテキスト データを最後に取得した時刻を示します。 |
インシデント
次の図は、最初に時間(新しい順)次に優先度のステータスに基づいた[コンテキスト ルックアップ]パネルの[インシデント]タブの例です。
[コンテキスト ルックアップ]パネルの[インシデント]タブには以下の情報が表示されます。
| 作成日時 | インシデントが作成された日付 |
| 優先度 | インシデントの優先度のステータス |
| リスク スコア | インシデントのリスク スコア |
| ID | インシデントのインシデントID。クリックするとインシデントの詳細が表示されます |
| 名前 | インシデント名 |
| ステータス | インシデントのステータス |
| 割り当て先 | インシデントの現在のオーナー |
| アラート | インシデントに関連するアラートの数 |
| 件数 | インシデントの数を表示します。デフォルトでは、最初の100件のアラートのみが表示されます。設定の構成方法の詳細については、「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」のトピックを参照してください。 |
| タイム ウィンドウ | これは[データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいています。デフォルトでは、過去7日間のインシデント データを取得します。 |
| 最終更新 | データ ソースからコンテキスト データを最後に取得した時刻を示します。 |
Live Connect
次の図は、[コンテキスト ルックアップ]パネルの[Live Connect]タブの例です。
[コンテキスト ルックアップ]パネルの[Live Connect]タブには次の情報が表示されます。
- レビュー ステータス
- Live Connectリスク評価
- リスク インジケータ
- コミュニティ アクティビティ
-
WHOIS
-
関連するファイル、ドメイン、IP
-
ID
-
証明書情報
[コンテキスト ルックアップ]パネルの[Live Connect]タブには以下の情報が表示されます。
| レビュー ステータス | 選択したLive Connectエンティティ(IP、ファイル、ドメイン)をアナリストがレビューしたステータスを表示します。これにより、組織内で、アナリストのアクティビティの可視性が高まります。 ステータス
ステータスのタイプを以下に示します。 - 新規: IPアドレスのルックアップの結果が組織内で最初に表示された場合。
- 表示済み: 組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みの場合。
- 安全と判定: 組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みで安全と判定している場合。
- 高リスクと判定: 組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みで高リスクと判定している場合。
|
| リスク評価 | Live Connectの分析とアナリスト フィードバックに基づく、選択したLive Connectエンティティ(IP、ファイル、ドメイン)のリスク評価を表示します。リスク評価のカテゴリは次のとおりです。 - 安全: Live Connectエンティティは、安全であると見なされています。
- 不明: Live Connectには、このエンティティのリスクを計算するための十分な情報がありません。
- 高リスク:コミュニティによる分析とリスクの理由に基づいて「高リスク」と判定されています。「高リスク」と判定されたエンティティは、直ちに注意を要します。
- 疑わしい:コミュニティによる分析とリスクの理由に基づいて「疑わしい」と判定されています。分析は、アクションを必要とする脅威となる可能性のあるアクティビティを示しています。
- 危険: コミュニティによる分析とリスクの理由に基づいて「疑わしい」と判定されています。
高リスク、疑わしい、危険と評価されたエンティティには、適宜関連するリスクの理由が表示されます。 |
| リスク評価のフィードバック | リスク評価のフィードバックにより、アナリストはエンティティに関する脅威インテリジェンスのフィードバックをLive Connectサーバに送信できます。 - リスクの確認:選択したLive Connectエンティティ(IP、ファイル、ドメイン)のリスクを確認します。リスクの確認のカテゴリは次のとおりです。
- 信頼度レベル:Live Connectエンティティのフィードバックに対するアナリストの信頼度レベルです。信頼度レベルのカテゴリは次のとおりです。
- リスク指標タグ:分析に基づいてタグ カテゴリを選択できます。
 |
| コミュニティ アクティビティ | コミュニティ アクティビティについて次の情報が表示されます。 - コミュニティで最初に表示された日付。
- IP/ファイル/ドメインが最初に表示された時間からの経過時間(現在の時間-初めて表示された時間)。
コミュニティ アクティビティのトレンドが表示されます。 RSAコミュニティの既知のIPアドレスである場合は、次のようなコミュニティ アクティビティのトレンドがグラフィカル表示されます。 - 所定の期間にLive ConnectコミュニティでIPアドレスを閲覧したユーザの割合(%)。
- IPアドレスに関するフィードバックを送信したユーザの割合(%)。
- 所定の期間にIPアドレスを危険と判定したユーザの割合(%)。
|
| リスク インジケータ | リスク インジケータは、コミュニティによってエンティティ(IPアドレス、ファイル、ドメイン)に割り当てられたタグをハイライト表示します。
 タグは、次のように分類されます。 - 偵察
- 配送
- コマンド&コントロール
- ラテラル ムーブメント
- 特権のエスカレーション
- パッケージと盗難
これらのタグはサンプルであり、Live Connectサーバがコミュニティから受信した入力によって異なります。 アナリストは、レビューのフィードバックを提供する時に、適切なリスク指標タグを選択できます。 ハイライト表示されたタグは、選択したエンティティがその特定のカテゴリとタグに関連づけられていることを示します。ハイライト表示されているタグをクリックすると、タグの説明が表示されます。 |
| ID | 選択したエンティティまたはメタ値の次の識別情報を提供します。 IPアドレスの場合: - ASN(Autonomous System Number)
- プレフィックス
- 国コードと国名
- 登録者(組織)
- 日付
ファイル ハッシュの場合: - ファイル名
- ファイル サイズ
- MD5
- SH1
- SH256
- コンパイル時間
- MIMEタイプ
ドメインの場合: |
| 証明書情報 | 選択したファイル ハッシュの次の証明書情報を示します。 - 証明書の発行者
- 証明書の妥当性
- 署名アルゴリズム
- 証明書のシリアル番号
|
| WHO IS情報 | WHO IS情報は、特定のドメインの所有権の詳細を提供します。  ドメイン所有者の次の情報が表示されます。 - 作成日
- 更新日
- 失効日
- タイプ(登録タイプ)
- 名前
- 組織
- 郵便番号とアドレス
- 国
- 電話番号
- Fax
- メール
|
| 関連ファイル | 関連ファイルはエンティティ タイプがIPおよびドメインの場合に表示されます。既知の関連するファイルのリストが、次の情報とともに表示されます。 - Live Connectのリスク評価(安全、高リスク、不明)
- ファイル名
- MD5
- コンパイル時刻と日付
- API関数インポート ハッシュ
- MIMEタイプ
|
| 関連ドメイン | 関連ドメインはエンティティ タイプがIPおよびファイルの場合に表示されます。既知の関連するドメインのリストが、次の情報とともに表示されます。 - Live Connectのリスク評価(安全、高リスク、不明)
- ドメイン名
- 国名
- 登録日
- 失効日
- 登録者のメール アドレス
|
| 関連IP | 関連IPはエンティティ タイプがドメインおよびファイルの場合に表示されます。既知の関連するIPのリストが、次の情報とともに表示されます。 - Live Connectのリスク評価(安全、高リスク、不明)
- IPアドレス
- ドメイン名
- 国コードと国名
- 国名
- 登録日
- 失効日
- 登録者のメール アドレス
 |
