Context Hubサービスでは、アナリストが分析を行い適切なアクションを行う際により的確な意思決定を行えるように、複数のデータ ソースから得られるコンテキスト情報を[対応]ビューに統合します。エンティティ、メタ値、コンテキスト情報を単一のインタフェースで確認できるため、アナリストは関心のある領域を特定することができます。たとえば、アナリストが特定のエンティティまたはメタ値の追加情報のクエリを実行すると、そのエンティティまたはメタ値に関して[対応]ビューで最近作成されたインシデントやアラートが表示されます。[コンテキスト ルックアップ]パネルには、IPアドレス、ユーザ、ホスト名、ドメイン、ファイル名、ファイル ハッシュなどの選択したエンティティまたはメタ値に関するコンテキスト情報が表示されます。使用可能なデータは、Context Hubに構成済みのソースによって異なります。
[コンテキスト ルックアップ]パネルには、Context Hubに構成されたソースで使用可能なデータからコンテキスト情報が表示されます。
実行したいことは何ですか?
| インシデント対応者、アナリスト、脅威ハンター | [コンテキスト ルックアップ]パネルへの移動。 | [インシデントの詳細]ビューから行う場合は、「コンテキスト情報の表示 」を参照してください。 [アラートの詳細]ビューから行う場合は、「コンテキスト情報の表示 」を参照してください。 |
| インシデント対応者、アナリスト、脅威ハンター | 選択したエンティティの[コンテキスト ルックアップ]パネルの情報について理解する。 | このトピックの情報を参照してください。 |
| 管理者 | Context Hubのデータ ソースの構成。 | 「Context Hub構成ガイド」の「Context Hubのデータ ソースの構成」を参照してください。 |
| 管理者 | Context Hubの設定の構成。 | 「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」を参照してください。 |
関連トピック
[コンテキスト ルックアップ]パネルに表示されるコンテキスト情報
[コンテキスト ルックアップ]パネルに表示されるコンテキスト情報やクエリの結果は、選択したエンティティと関連するデータ ソースに依存します。[コンテキスト ルックアップ]パネルには、データ ソースごとに個別のタブがあります。タブには、[データ ソースのリスト]、[Archer]、[Active Directory]、[エンドポイント]、[インシデント]、[アラート]、[Live Connect]があります。次の図は、[インシデント]タブで表示される[インシデントの詳細]ビューで選択したエンティティの[コンテキスト ルックアップ]パネルを示しています。
次の表は、各タブおよびサポートされるエンティティで使用可能なデータを示しています。
| 
(リスト) | 選択したエンティティまたはメタ値に関連付けられているすべてのリストのデータを表示します。リストの最終更新日時によってソートされます。 | すべてのエンティティ |
(Archer) | Archerデータ ソースから、重要度評価と資産情報を表示します。 | IP、ホスト、MAC |
| 
(Active Directory) | 選択したユーザのすべてのユーザ情報を表示します。 | ユーザ |
| 
(NetWitness Endpoint)
| マシン、モジュール、IIOCレベルを含む選択したエンティティまたはメタ値のNetWitness Endpointデータ ソースの情報を表示します。モジュールは最大IOCスコアから最小IIOCスコアの順にソートされ、IIOCレベルは最高IOCレベルから最低IOCレベルの順にソートされます。 | IP、MACアドレス、ホスト |
(インシデント) | 選択したエンティティまたはメタ値に関連付けられているインシデントのリストを表示します。最新のインシデントから最も古いインシデントの順にソートされます。 | すべてのエンティティ |
(アラート) | 選択したエンティティまたはメタ値に関連付けられているアラートのリストを表示します。最新のアラートから最も古いアラートの順にソートされます。 | すべてのエンティティ |
(Live Connect) | Live Connectから関連する情報を表示します。 | IP、ドメイン、Filehash |
[リスト]タブ
[コンテキスト ルックアップ]パネルの[リスト]タブには、選択したエンティティまたはメタ値に関連する1つ以上のリストが表示されます。次の図は、[コンテキスト ルックアップ]パネルの[リスト]タブの例です。表にはフィールドの説明が記載されています。
| 名前 | リストの名前(リストの作成時に定義)。 |
| 説明 | リストの説明(リストの作成時に定義)。 |
| 作成者 | リストを作成したオーナー。 |
| 作成日時 | リストが作成された日付。 |
| 更新日 | リストが最後に更新または変更された日付。 |
| 件数 | 選択したエンティティまたはメタ値が使用可能なリストの数。 |
| タイム ウィンドウ | [レスポンスの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づくタイム ウィンドウ。デフォルトでは、[リスト]のすべてのデータがフェッチされます。 |
| 最終更新 | Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。 |
[Archer]タブ
[コンテキスト ルックアップ]パネルの[Archer]タブには、IP、ホスト、およびMACのエンティティについて、Archerデータ ソースから取得した重要度評価と資産情報が表示されます。次の図は、[コンテキスト ルックアップ]パネルの[Archer]タブの例です。表には各フィールドの説明が記載されています。
| 重要度評価 | デバイスがサポートするアプリケーションに基づいて算出されたデバイスの業務上の重要度。重要度評価は、未評価、低、中-低、中、 中-高、高: |
| リスク評価 | 最新のアセスメント結果と、このデバイスを使用する施設の平均リスク評価から、デバイスのリスク評価を計算します。リスク評価は、重大、高、中、低、最低のいずれかに設定されます。 |
| デバイス名 | デバイスの固有の名前。 |
| ホスト名 | デバイスのホスト名。 |
| IPアドレス | デバイスのプライマリ内部IPアドレス。 |
| デバイスID | システム内のすべてのアプリケーションにおいてデバイス レコードを一意に識別する、自動的に設定された値。 |
| タイプ | サーバ、ラップトップ、デスクトップなどのデバイスの種類。 |
| 施設 | このデバイスに関連する施設アプリケーション内のレコードへのリンク。 |
| ビジネスユニット | このデバイスに関連するビジネス ユニット アプリケーション内のレコードへのリンク。3を越えるビジネスユニットの値については、フィールドにカーソルを合わせると表示されます。 |
| デバイス管理責任者 | デバイスを担当し、レコードの読み取りおよび更新権限を持つデバイスの管理責任者。 |
| 件数 | 使用可能な資産の数。 |
| タイム ウィンドウ | [レスポンスの構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、Archerのすべてのデータをフェッチします。 |
| 最終更新 | Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。 |
注:ローカライズ バージョンでは、次の12個のフィールドのみが表示されます。重要度評価、リスク評価、デバイス管理責任者、ビジネスユニット、ホスト名、MACアドレス、施設、IPアドレス、タイプ、デバイスID、デバイス名、およびビジネス プロセス。
[Active Directory]タブ
次の図は、Active Directoryの[コンテキスト ルックアップ]パネルの例です。
Active Directoryの[コンテキスト ルックアップ]パネルには、ユーザのすべての関連情報、インシデント、アラートが表示されます。次の形式を使用して検索を実行できます。
- userPrincipalName
- Domain\UserName
- sAMAccountName
マルチ ドメインまたはマルチ フォレストのユーザが存在する場合は、特定のユーザのすべての関連コンテキスト情報が表示されます。
Active Directoryについて次の情報が表示されます。
| 表示名 | ユーザの名前。 |
| 従業員ID
| ユーザの従業員ID。 |
| 電話 | ユーザの電話番号。 |
| メール | ユーザのメールID。 |
| ADユーザID | 組織内の特定ユーザの固有ID。 |
| 役職
| ユーザの役職。 |
| マネージャ
| ユーザのマネージャーの名前。 |
| グループ
| ユーザが所属するグループのリスト。 |
| 会社
| ユーザの会社の名前。 |
| 部門
| ユーザが所属する組織内の部門名。 |
| 場所 | ユーザの場所。 |
| 最終ログオン
| ユーザがシステムにログインした時刻(グローバル カタログが定義されている場合のみ)。 |
| 最終ログオンのタイム スタンプ | ユーザがシステムにログインした時刻。 |
| 識別名 | ユーザに割り当てられている固有の名前。 |
| 件数 | ユーザの数。 |
| タイム ウィンドウ | [データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、Active Directoryのすべてのデータをフェッチします。 |
| 最終更新 | Context Hubがルックアップ データをフェッチしてキャッシュに保存した時刻。 |
[NetWitness Endpoint]タブ
次の図は、[コンテキスト ルックアップ]パネルの[NetWitness Endpoint]タブの例です。
IIOCについて次の情報が表示されます。
| モジュール数 | 検索されたモジュール数。 |
| 管理ステータス | 管理ステータス(該当する場合)。 |
| 最終更新日 | データが最後に更新された時刻。 |
| 最終ログイン | ユーザが最後にログインした時間。 |
| MACアドレス | マシンのMACアドレス。 |
| オペレーティング システム | NetWitness Endpointマシンで使用されるオペレーティング システムのバージョン。 |
| マシン ステータス | 表示されているモジュールの状態:オンライン、オフライン、アクティブ、または非アクティブ。 |
| IPアドレス | 特定のモジュールのIPアドレス。 |
モジュールについて次の情報が表示されます。
| IIOCスコア | マシンIIOCスコアは、モジュールのスコアに基づいて集計されたスコアです。これは[Context Hubデータ ソース設定]ダイアログの[最小IIOCスコア]フィールドに設定された値に基づいています。[最小IIOCスコア]のデフォルト値は500です。「Context Hub構成ガイド」の「Context Hubのデータ ソース設定の構成」を参照してください。 |
| モジュール名 | 検索されたモジュールの名前。 |
| 解析スコア | 選択したマシンのアクティブなファイルの数。 |
| マシン数 | 特定のIOCがトリガーしたマシンの数。 |
| 署名 | ファイルが署名されているかどうか、有効か無効かのインジケータ。GoogleやAppleなどの署名情報。 |
マシンについて次の情報が表示されます。
| IOCレベル | IOCレベル。 |
| 説明 | IOCレベルの説明(使用可能な場合)。 |
| 前回の実行 | アクションが実行された時刻。 |
| 件数 | 検索されているホスト数。 |
| タイム ウィンドウ | [データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、NetWitness Endpointのすべてのデータがフェッチされます。 |
| 最終更新日 | NetWitness Endpointデータベースでスキャン結果が最後に更新された時刻。 |
[Alerts]タブ
次の図は、最初に時間(新しい順)次に重大度に基づいて表示された[Alerts]の[コンテキスト]パネルの例です。
[コンテキスト ルックアップ]パネルの[アラート]タブには以下の情報が表示されます。
| 作成日 | アラートが作成された日時。 |
| 重大度 | アラートの重大度の値 |
| 名前 | アラートのファイル名。名前をクリックすると特定のアラートの詳細が表示されます。 |
| ソース | アラートをトリガーしたアラート ソースの名前。 |
| イベント数 | アラートに関連するイベントの数。 |
| インシデントID | アラートが関連づけられているインシデントのID(該当する場合)。IDをクリックすると特定のアラートの詳細が表示されます。 |
| 件数 | アラート数 デフォルトでは、最初の100件のアラートのみが表示されます。設定の構成方法の詳細については、『Context Hub構成ガイド』の「Context Hubのデータ ソース設定の構成」を参照してください。 |
| タイム ウィンドウ | [データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、過去7日間のアラート データをフェッチします。 |
| 最終更新日 | データ ソースからコンテキスト データを最後に取得した時刻。 |
[インシデント]タブ
次の図は、最初に時間(新しい順)次に優先度のステータスに基づいた[コンテキスト ルックアップ]パネルの[インシデント]タブの例です。
[コンテキスト ルックアップ]パネルの[インシデント]タブには以下の情報が表示されます。
| 作成日 | インシデントが作成された日付。 |
| 優先度 | インシデントの優先度のステータス。 |
| リスク スコア | インシデントのリスク スコア。 |
| ID | インシデントのインシデントID。IDをクリックするとインシデントの詳細が表示されます。 |
| 名前 | インシデントの名前。 |
| ステータス | インシデントのステータス。 |
| 割り当て先 | インシデントの現在のオーナー。 |
| アラート | インシデントに関連するアラートの数。 |
| 件数 | インシデントの数。デフォルトでは、最初の100件のインシデントのみが表示されます。設定の構成方法の詳細については、『Context Hub構成ガイド』の「Context Hubのデータ ソース設定の構成」を参照してください。 |
| タイム ウィンドウ | [データ ソース設定の構成]ダイアログの[クエリの対象期間]フィールドに設定された値に基づいたタイム ウィンドウ。デフォルトでは、過去7日間のアラート データをフェッチします。 |
| 最終更新日 | データ ソースからコンテキスト データを最後に取得した時刻。 |
[Live Connect]タブ
次の図は、[コンテキスト]パネルの[Live Connect]タブの例であり、表では表示される以下の情報について説明しています。
| レビュー ステータス | 選択したLive Connectエンティティ(IP、ファイル、ドメイン)をアナリストがレビューしたステータス。これにより、組織内で、アナリストのアクティビティの可視性が高まります。 ステータス
ステータスのタイプを以下に示します。 - 新規: IPアドレスのルックアップの結果が組織内で最初に表示された場合。
- 表示済み: 組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みの場合。
- 安全と判定: 組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みで安全と判定している場合。
- 高リスクと判定: 組織内のアナリストがIPアドレスのルックアップの結果をすでに表示済みで高リスクと判定している場合。
|
| リスク評価 | Live Connectの分析とアナリスト フィードバックに基づく、選択したLive Connectエンティティ(IP、ファイル、ドメイン)のリスク評価を表示します。リスク評価のカテゴリは次のとおりです。 - 安全: Live Connectエンティティは、安全であると見なされています。
- 不明: Live Connectには、このエンティティのリスクを計算するための十分な情報がありません。
- 高リスク:コミュニティによる分析とリスクの理由に基づいて「高リスク」と判定します。「高リスク」と判定されたエンティティは、直ちに注意を要します。
- 疑わしい:コミュニティによる分析とリスクの理由に基づいて「疑わしい」と判定します。分析は、アクションを必要とする脅威となる可能性のあるアクティビティを示しています。
- 危険: コミュニティによる分析とリスクの理由に基づいて「危険」と判定します。
高リスク、疑わしい、危険と評価されたエンティティには、適宜関連するリスクの理由が表示されます。 |
| リスク評価のフィードバック |  リスク評価のフィードバックにより、アナリストはエンティティに関する脅威インテリジェンスのフィードバックをLive Connectサーバに送信できます。 - リスクの確認:選択したLive Connectエンティティ(IP、ファイル、ドメイン)のリスクを確認します。リスクの確認のカテゴリは次のとおりです。
- 信頼度レベル:Live Connectエンティティのフィードバックに対するアナリストの信頼度レベルです。信頼度レベルのカテゴリは次のとおりです。[高]、[中]、[低]。
- リスク インジケータ タグ:分析に基づいてタグ カテゴリーを選択できます。
|
| コミュニティ アクティビティ | コミュニティ アクティビティについて次の情報が表示されます。 - コミュニティで最初に表示された日付。
- IP/ファイル/ドメインが最初に表示された時間からの経過時間(現在の時間-初めて表示された時間)。
コミュニティ アクティビティのトレンドが表示されます。 RSAコミュニティの既知のIPアドレスである場合は、次のようなコミュニティ アクティビティのトレンドがグラフィカル表示されます。 - 所定の期間にLive ConnectコミュニティでIPアドレスを閲覧したユーザの割合(%)。
- IPアドレスに関するフィードバックを送信したユーザの割合(%)。
- 所定の期間にIPアドレスを危険と判定したユーザの割合(%)。
|
| リスク インジケータ |  リスク インジケータは、コミュニティによってエンティティ(IPアドレス、ファイル、ドメイン)に割り当てられたタグをハイライト表示します。
タグは次のように分類されます。スキャン、デリバリ、コマンド&コントロール、ラテラル ムーブメント、特権エスカレーション、パッケージ&漏洩。 これらのタグはサンプルであり、Live Connectサーバがコミュニティから受信した入力によって異なります。アナリストは、レビューのフィードバックを提供する時に、適切なリスク指標タグを選択できます。ハイライト表示されたタグは、選択したエンティティがその特定のカテゴリとタグに関連づけられていることを示します。ハイライト表示されているタグをクリックすると、タグの説明が表示されます。 |
| ID | 選択したエンティティまたはメタ値の次の識別情報を提供します。 IPアドレスの場合:ASN(自律システム番号)、プレフィックス、国コードと国名、登録者(組織)、日付。 ファイル ハッシュの場合:ファイル名、ファイルサイズ、MD5、SH1、SH256、コンパイル時刻、Mimeタイプ。 ドメインの場合:ドメイン名と関連IPアドレス。 |
| 証明書情報 | 選択したファイル ハッシュの次の証明書情報を示します。証明書の発行者、証明書の有効性、署名アルゴリズム、証明書のシリアル番号。 |
| WHO IS情報 |  WHO IS情報は、特定のドメインの所有権の詳細を提供します。 ドメイン所有者の次の情報が表示されます。作成日、更新日、期限切れの日付、タイプ(登録タイプ)、名前、組織、郵便番号と住所、国、電話、ファクス、メール。 |
| 関連ファイル | 関連ファイルはエンティティ タイプがIPおよびドメインの場合に表示されます。既知の関連するファイルのリストが、次の情報とともに表示されます。Live Connectのリスク評価(安全、危険、または不明)、ファイル名、MD5、コンパイル日時、API関数、インポート ハッシュ、Mimeタイプ。 |
| 関連ドメイン | 関連ドメインはエンティティ タイプがIPおよびファイルの場合に表示されます。既知の関連するドメインのリストが、次の情報とともに表示されます。Live Connectのリスク評価(安全、危険、または不明)、ドメイン名、国名、登録日、期限切れの日付、登録者のメール アドレス。 |
| 関連IP |  関連IPはエンティティ タイプがドメインおよびファイルの場合に表示されます。既知の関連するファイルのリストが、次の情報とともに表示されます。Live Connectのリスク評価(安全、危険、または不明)、IPアドレス、ドメイン名、国コードと国名、国名、登録日、期限切れの日付、登録者のメール アドレス。
|
on Oct 16, 2018
