対応:アクションが必要なインシデントの判断

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

[インシデント リスト]ビューから、インシデントに関する一般的な情報を取得した後、[インシデント詳細]ビューに移動して詳細情報を確認し必要なアクションを判断することができます。

Incident Details view

インシデントの詳細の表示

インシデントの詳細を表示するには、[インシデント リスト]ビューで、表示するインシデントを選択し、そのインシデントの[ID]または[名前]列のリンクをクリックします。

Incident List view showing link to the details view in the Name column

選択したインシデントの[インシデントの詳細]ビューが表示されます。次の図には[概要]パネルとノード グラフが表示されます。

Incident Details view example

[インシデントの詳細]ビューには次のパネルがあります。

  • 概要:インシデントの[概要]パネルには、リスク スコア、優先度、アラート、ステータスなど、インシデントに関する概要レベルのサマリ情報が含まれています。インシデントの優先度、ステータス、割り当て先を変更することができます。
  • インジケータ:[インジケータ]パネルには、インジケータの一覧が時系列に表示されます。インジケータは、ESAアラートやNetWitness Endpointアラートなどのアラートです。このリストは、インジケータと注目すべきデータを関連づけるのに役立ちます。たとえば、コマンド&コントロール ESAアラートに関連するIPアドレスは、NetWitness Endpointアラートやその他の疑わしいアクティビティをトリガーする可能性があります。
  • ノード グラフ:ノード グラフは、インシデントに関連するエンティティ間の関係を表示する対話型のグラフです。エンティティは、IPアドレス、MACアドレス、ユーザ、ホスト、ドメイン、ファイル名、ファイル ハッシュなどの特定のメタです。
  • イベント:[イベント]パネルはイベント テーブルとも呼ばれ、インシデントに関連するイベントを一覧表示します。イベント タイプに応じて、追加情報とともにイベントのソースと宛先の情報も表示されます。リスト内のイベントをクリックすると、そのイベントの詳細なデータを表示することができます。
  • ジャーナル:[ジャーナル]パネルでは、選択したインシデントのジャーナルにアクセスすることができます。ジャーナルは、他のアナリストと通信し、コラボレーションするために使用します。ジャーナルにメモをポストし、調査マイルストーン タグ(偵察、配送、エクスプロイト、インストール、コマンド&コントロール)を追加し、インシデント対応アクティビティの履歴を表示できます。
  • タスク:[タスク]パネルには、インシデントに対して作成されたすべてのタスクが表示されます。ここから追加のタスクを作成することもできます。
  • 関連:[関連インジケータ]パネルでは、NetWitness Suiteアラート データベースを検索して、このインシデントに関連するアラートを探すことができます。見つかった関連するアラートをインシデントに追加することもできます。

スクロールせずに左側のパネルにより多くの情報を表示するには、右端にカーソルを合わせ、次の図に示すように、線をドラッグしてパネルのサイズを変更することができます。

Indident Details view showing how to resize the panel

インシデントに関する基本的なサマリ情報の表示

[概要]パネルには、インシデントに関する基本的なサマリ情報が表示されます。

[概要]パネルでは、次の情報を確認できます。

  • インシデントID:これは、各インシデントに割り当てられる自動的に作成された固有の識別子です。
  • 名前:インシデント名は、インシデントをトリガーしたルールから取得されます。

Top of left panel

[インシデントの詳細]ビューから[概要]パネルを表示するには、左側のパネルで[概要]を選択します。

Overview panel

[インシデント リスト]ビューから[概要]パネルを表示するには、リスト上のインシデントをクリックします。右側に[概要]パネルが表示されます。

Incident List with the Overview panel open

[概要]パネルには、選択したインシデントについての基本的なサマリ情報が含まれています。

  • 作成日:インシデントの作成日時を示します。
  • ルール/By:インシデントを作成したルールの名前またはインシデントを作成したユーザの名前を示します。
  • リスク スコア:アルゴリズムにより計算されたインシデントのリスクを示し、0~100の範囲です。100が最大のリスク スコアです。
  • 優先度:インシデントの優先度を示します。優先度はクリティカル、高、中、低のいずれかです。
  • ステータス:インシデントのステータスを表示します。ステータスは、新規、割り当て済み、対応中、タスク要求中、タスク完了、クローズ、クローズ - False Positiveのいずれかです。タスクを作成すると、ステータスは[タスク要求中]に変わります。
  • 割り当て先:インシデントに現在割り当てられているチームのメンバーを示します。
  • ソース:疑わしいアクティビティの検出に使用されたデータ ソースを示します。
  • カテゴリ:インシデント イベントのカテゴリを示します。
  • 要因:インシデントを発生させたインジケータのカウントを示します。

インジケータとエンリッチメントの表示

注:インジケータは、ESAアラートやNetWitness Endpointアラートなどのアラートです。

[インジケータ]パネルでは、インジケータ、イベント、エンリッチメントを検索できます。[インジケータ]パネルには、インジケータのリストが時系列に表示され、インジケータのトリガーとなったエンリッチメントとイベントを検索するのに役立ちます。たとえば、インジケータには、コマンド&コントロール アラート、NetWitness Endpointアラート、不審なドメイン(C2)アラート、Event Stream Analysis(ESA)アラートなどがあります。[インジケータ]パネルは、異なるシステムで生成されたこれらのインジケータ(アラート)を統合し、並べ替えることにより、それぞれの関連を確認し、特定の攻撃の時間経過を把握するのに役立ちます。

[インジケータ]パネルを表示するには、[インシデントの詳細]ビューの左側のパネルで[インジケータ]を選択します。

Indicators panel

インジケータは、ESAアラートやNetWitness Endpointアラートなどのアラートです。このリストは、インジケータと注目すべきデータを関連づけるのに役立ちます。たとえば、インジケータには、ルールによって検出されたデータを表示できます。[インジケータ]パネルでは、単色で塗りつぶされた丸の中にインジケータのリスク スコアが表示されます。

データ ソースの情報は、インジケータの名前の下に表示されます。インジケータの作成日と時刻、インジケータのイベントの数も確認できます。データがある場合は、エンリッチメントの数を表示できます。イベントとエンリッチメントのボタンをクリックすると詳細を表示することができます。

イベントの表示と調査

[イベント]パネルから、インシデントに関連するイベントを表示して調査できます。イベント タイム、ソースIP、宛先IP、検知器IP、ソース ユーザ、宛先 ユーザ、イベントに関するファイル情報など、イベントに関する情報が表示されます。表示される情報の量は、イベント タイプに依存します。

イベントには次の2つのタイプがあります。

  • 2台のマシン(ソースと宛先)間のトランザクション
  • 1台のマシン(検知器)で検出された異常

一部のイベントには、検知器の情報しか含まれません。たとえば、NetWitness Endpointはマシンのマルウェアを検出します。その他のイベントは、ソースと宛先の情報を含んでいます。たとえば、パケット データは、1台のマシンとコマンド&コントロール(C2)ドメイン間の通信を表します。

イベントをさらにドリル ダウンして、イベントに関する詳細なデータを取得できます。

イベントを表示して調査するには、次の手順を実行します。

  1. [イベント]パネルを表示するには、[インシデントの詳細]ビューのツールバーで、View Datasheet icon - It opens the Events panelをクリックします。
    Events panel
    [イベント]パネルに、各イベントの次の情報が一覧表示されます。

    説明

    時間イベントの発生時刻を示します。
    タイプ「Log」または「Network」などのアラートのタイプを示します。
    ソースIP2台のマシン間のトランザクションがあった場合は、ソースIPアドレスを示します。
    ソース ポートトランザクションのソース ポートを示します。ソース ポートと宛先ポートが同じIPアドレス上に存在する場合があります。
    ソース ホストイベントが発生したソース ホストを示します。
    ソースMACソース マシンのMACアドレスを示します。
    ソース ユーザソース マシンのユーザを示します。
    宛先IP2台のマシン間のトランザクションがあった場合は、宛先IPアドレスを示します。
    宛先ポートトランザクションの宛先ポートを示します。ソース ポートと宛先ポートが同じIPアドレス上に存在する場合があります。
    宛先ホストイベントが発生した宛先ホストを示します。
    宛先MAC宛先マシンのMACアドレスを示します。
    宛先ユーザ宛先マシンのユーザを示します。
    検知器のIP異常を検出したマシンのIPアドレスを示します。
    ファイル名イベントにファイルが関連している場合は、ファイル名が表示されます。
    ファイル ハッシュファイルの内容のハッシュを示します。

    リストにイベントが1件しかない場合は、リストではなくそのイベントの詳細が表示されます。

  2. [イベント]リストのイベントをクリックすると、イベントの詳細が表示されます。
    この例では、イベント リストの最初のイベントの詳細を表示しています。
    Event Details - First Event
  3. 追加のイベントの詳細を表示するには、[イベントの詳細]ナビゲーションを使用します。
    この例では、リストの2番目のイベントを表示しています。
    Event Details - Second event showing navigation

イベントに関連するエンティティの表示と調査

エンティティは、IPアドレス、MACアドレス、ユーザ、ホスト、ドメイン、ファイル名、ファイル ハッシュなどの特定のメタです。ノード グラフは、イベントに関連するエンティティの相互関係をわかりやすく表示するための対話型のグラフです。ノード グラフは、イベントのタイプ、関係するマシンの数、マシンがユーザに関連付けられているかどうか、イベントに関連づけられたファイルがあるかどうかによって異なって表示されます。

次の図は、6つのノードを含むノード グラフの例です。

Nodal graph

ノード グラフでは、各ノードは円で表現されます。ノード グラフには、次のタイプのノードが1つ以上含まれます。

  • IPアドレス(イベントが異常の検出である場合は、検知器のIPが表示されます。イベントがトランザクションの場合は、宛先IPとソースIPが表示されます。)
  • MACアドレス(各タイプのIPアドレスのMACアドレスが表示されます。)
  • ユーザ(マシンがユーザに関連づけられている場合、ユーザ ノードが表示されます。)
  • ホスト
  • ドメイン
  • ファイル名(イベントにファイルが関連する場合、ファイル名を確認できます。)
  • ファイル ハッシュ(イベントにファイルが関係する場合、ファイル ハッシュが表示されます。)

ノード グラフの下部の凡例は、各タイプのノードの数と色を示します。

任意のノードをクリックし、ドラッグして位置を変更することができます。

ノード間の矢印は、エンティティの関係に関する追加情報を提供します。

  • communicates with:ソース マシン ノード(IPアドレスまたはMACアドレス)と宛先マシン ノード間を結ぶ「communicates with」というラベルの矢印は、通信の方向を示します。
  • as:ノード間を結ぶ「as」というラベルの矢印は、矢印の先のIPアドレスに関する追加情報を提供します。上の例では、ホスト ノードからハッシュされたIPアドレス ノードに向かう矢印に、「as」というラベルが付けられています。これは、ホスト ノードに表示された名前が、IPアドレスのホスト名であり、異なるエンティティではないことを示します。
  • has file:マシン ノード(IPアドレス、MACアドレス、ホスト)とファイル ハッシュ ノードを結ぶ「has file」というラベルの矢印は、IPアドレスがそのファイルを持つことを示します。
  • uses:ユーザ ノードとマシン ノード(IPアドレス、MACアドレス、ホスト)を結ぶ「uses」というラベルの矢印は、ユーザがイベント中に使用していたマシンを示します。
  • is named:ファイル ハッシュ ノードとファイル名ノードを結ぶ「is named」というラベルの矢印は、ファイル ハッシュがその名前のファイルのものであることを示します。
  • belongs to:2つのノードを結ぶ「belongs to」というラベルの矢印は、これらが同じノードに属することを示します。たとえば、MACアドレスとホストの間の矢印に「belongs to」のラベルがある場合、MACアドレスがホストのものであることを示します。

矢印の線が太いほど、ノード間の通信が多いことを示します。大きなノード(円)は、小さいノードよりもアクティビティが多いことを示します。ノードが大きいほど、より多くのイベントに出現するエンティティであることを意味します。

次のノード グラフの例には、10個のノードがあります。

Nodal graph example showing 10 nodes

この例には、アクティビティの多い2つのIPノードがあります。どちらもファイルを持ちますが、相互に通信しません。上方のIPアドレス(192.168.1.1)は、example.comドメイン内の2つのホスト名(host.example.comとINENDEBS1L2C)を持つ1台のマシンを表します。マシンのMACアドレスは11-11-11-11-11-11-11-11-11で、Aliceが使用しています。

[インシデントの詳細]ビューでのデータのフィルタ処理

[インジケータ]パネルでインジケータをクリックして、ノード グラフとイベント リストに表示する情報をフィルタ処理することができます。

インジケータを選択しノード グラフをフィルタ処理すると、次の図のように、選択されていないデータはグレー表示されますが、グラフ内に残ります。

Nodal graph filtered by incidents

インジケータを選択しイベント リストをフィルタ処理すると、そのインジケータのイベントのみがリストに表示されます。次の図は、2つのイベントを含むインジケータを選択したものです。イベントのリストはフィルタ処理され、これら2つのイベントが表示されます。

Incident Details view - An indicator selected with two events filters the Events list

インジケータを選択してイベント リストをフィルタ処理する場合、インジケータに1つのイベントしか含まれない場合は、次の図に示すように、そのイベントの詳細が表示されます。

Incident Details view - An indicator selected with one event shows the details for that event

インシデントに関連するタスクの表示

脅威の対応者やその他のアナリストは、インシデントのタスクを作成し、それらのタスクを完了するまでトラッキングできます。これは、たとえば、インシデントの解決にSOCチーム以外のアクションが必要なときなどに非常に役に立ちます。[インシデントの詳細]ビューで、インシデントに関連するタスクを表示することができます。

  1. [対応]>[インシデント]の順に移動し、インシデントのリストで表示するインシデントを検索します。
  2. インシデントの[ID]または[名前]フィールドのリンクをクリックして、[インシデントの詳細]ビューに移動します。
  3. [インシデントの詳細]ビューのツールバーでJournal, Tasks, and Related iconをクリックします。
    [ジャーナル]パネルが表示されます。
  4. タスク]タブをクリックします。
    [タスク]パネルに、インシデントのすべてのタスクが表示されます。
    TASKS panel

タスクの詳細については、「[タスク リスト]ビュー」、「すべてのインシデント タスクの表示」、「タスクの作成」を参照してください。

インシデント メモの表示

インシデントの[ジャーナル]パネルには、インシデント対応アクティビティの履歴を表示することができます。他のアナリストが追加したジャーナル エントリーを表示でき、他のアナリストととの通信やコラボレーションのために使用できます。

  1. [対応]>[インシデント]の順に移動し、インシデントのリストで表示するインシデントを検索します。
  2. インシデントの[ID]または[名前]フィールドのリンクをクリックして、[インシデントの詳細]ビューに移動します。
  3. [インシデントの詳細]ビューのツールバーでJournal, Tasks, and Related iconをクリックします。
    [ジャーナル]パネルにインシデントのすべてのジャーナル エントリーが表示されます。
    Journal panel

関連インジケータの検索

関連インジケータは、元々選択したインシデントには含まれていませんが、何らかの形で関連しているアラートです。関連が明らかな場合も、明らかでない場合もあります。たとえば、関連インジケータには、インシデントの1つまたは複数のエンティティが関与している場合もありますが、NetWitness Suiteの外部のインテリジェンスによって関連が示される場合もあります。

[インシデントの詳細]ビューの[関連インジケータ]パネルでは、現在のインシデント以外の他のアラートのエンティティ(IP、MAC、ホスト、ドメイン、ユーザ、ファイル名、ハッシュなど)を検索できます。

  1. [対応 ]>[インシデント]の順に移動し、インシデントのリストで表示するインシデントを検索します。
  2. インシデントの[ID]または[名前]フィールドのリンクをクリックして、[インシデントの詳細]ビューに移動します。
  3. [インシデントの詳細]ビューのツールバーでJournal, Tasks, and Related iconをクリックします。
    [ジャーナル]パネルが右側に表示されます。
  4. 関連]タブをクリックします。
    Related Indicators panel
  5. 検索]をクリックします。
    関連インジケータ(アラート)のリストが、[検索]ボタンの下の[次を含むインジケータ]セクションに表示されます。アラートが他のインシデントに追加されていない場合は、[インシデントへの追加]ボタンをクリックして現在のインシデントに関連インジケータ(アラート)を追加することができます。後述の「インシデントへの関連インジケータの追加」を参照してください。

インシデントへの関連インジケータの追加

[関連インジケータ]パネルから、現在のインシデントに関連インジケータ(アラート)を追加できます。すでにインシデントに追加済みのインジケータは、他のインシデントに追加することはできません。アラートがまだインシデントに追加されていない場合は、検索結果に[インシデントへの追加]ボタンが表示されます。

  1. 関連インジケータ]パネルで、関連インジケータを検索します。前述の「関連インジケータの検索」を参照してください。
    Related Indicators panel
  2. 検索結果でアラートを確認します。[検索]ボタンの下の[次を含むインジケータ]セクションに、関連インジケータ(アラート)のリストが表示されます。
  3. アラートを関連インジケータとしてインシデントに追加する前に、詳細を調査するには、[新規ウィンドウで開く]リンクをクリックしてそのアラートの詳細を表示することができます。
  4. 関連インジケータとして現在のインシデントに追加する各アラートで、[インシデントへの追加]ボタンをクリックします。
    左側の[インジケータ]パネルに、選択した関連インジケータが追加されます。右側の[関連インジケータ]パネルのボタンの表示が、[このインシデントの一部]に変わります。
    Indicator find results showing Part of this Incident button after adding the indicator to the incident
You are here
Table of Contents > アクションが必要なインシデントの判断

Attachments

    Outcomes