対応:インシデントの調査

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

[インシデントの詳細]ビューには、インシデントをさらに詳しく調査するため、インシデントに関する追加のコンテキスト情報に移動するリンクが表示されます(情報がある場合)。この追加のコンテキストは、インシデントの特定のエンティティに関する技術的コンテキストとビジネス コンテキストを理解するのに役立ちます。インシデントの全体像を確実に把握するために必要となる追加の情報も提供されます。

コンテキスト情報の表示

[インジケータ]パネル、[イベント リスト]パネル、[イベントの詳細]パネル、ノード グラフには、下線付きのエンティティが表示されます。エンティティに下線がある場合、NetWitness SuiteがContext Hubにそのエンティティ タイプに関する情報を追加していることを意味します。つまり、Context Hubに、そのエンティティに関する追加情報が存在する可能性があります。

次の図は、[インジケータ]パネルとノード グラフの下線付きのエンティティを示します。

Indicators panel and Nodal Graph showing underlined entities

次の図は、[イベントの詳細]パネルの下線付きのエンティティを示します。

Event Details panel showing underlined entities

Context Hubには、エンティティとメタ フィールドのマッピングが事前構成されています。NetWitness RespondとInvestigateはコンテキスト ルックアップでこれらのデフォルトのマッピングを使用します。メタ キーを追加する方法については、「Context Hub構成ガイド」の「データ ソース設定の構成」を参照してください。

注意:コンテキスト ルックアップを[対応]ビューと[調査]ビューで正常に動作させるため、[管理]>[システム]>[調査]>[コンテキスト ルックアップ]タブでメタ キーをマッピングする際に、[メタ キー マッピング]にはメタ キーのみを追加し、MongoDBのフィールドは追加しないことを推奨します。たとえば、ip.addressはメタ キーですが、ip_addressはメタ キーではなくMongoDBのフィールドです。

コンテキスト情報を表示するには、次の手順を実行します。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、下線付きのエンティティにマウスを合わせます。
    コンテキスト ツールチップに、選択したエンティティで利用可能なコンテキスト データのタイプについて簡単なサマリが表示されます。
    Nodal Graph showing context tooltip
    コンテキスト ツールチップには、2つのセクションがあります。[コンテキストのハイライト]と[アクション]です。
    Context tooltip
    コンテキストのハイライト]セクションの情報は、必要なアクションを判断するのに役立ちます。インシデント、アラート、リスト、Endpoint、Live Connectの関連するデータを表示できます。データによっては、これらのアイテムをクリックして詳細を確認できます。上の例は、IPアドレス エンティティ「192.168.144.254」について、430個の関連インシデント、665個のアラート、0個のリストがあり、NetWitness EndpointまたはLive Connectの情報はないことを示しています。

    アクション]セクションには、使用可能なアクションが表示されます。上の例では、[調査に移行]、[エンドポイントに移行]、[リストへの追加/削除]オプションを使用できます。詳細については、「調査への移行」、「NetWitness Endpointへの移行」、「ホワイト リストへのエンティティの追加」を参照してください。
  2. 選択したエンティティの詳細を表示するには、[コンテキストの表示]ボタンをクリックします。
    [コンテキスト ルックアップ]パネルが開き、エンティティに関連するすべての情報が表示されます。
    次の例は、選択したソースIPアドレスのコンテキストの情報を示しています。選択したIPアドレスが含まれるすべてのインシデントが一覧表示されています。
    Context panel
    [コンテキスト ルックアップ]パネル内のさまざまなビューを理解するには、「
    [対応]ビューの[コンテキスト ルックアップ]パネル 」を参照してください。

ホワイト リストへのエンティティの追加

下線付きの任意のエンティティは、コンテキスト ツールチップから、ホワイトリストまたはブラックリストなどのリストに追加できます。たとえば、誤検知を減らすために、下線付きのドメインをホワイトリストに追加して、関連エンティティから除外します。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、Context Hubのリストに追加する下線付きのエンティティにマウスを合わせます。
    コンテキスト ツールチップに使用可能なアクションが表示されます。
    Nodal graph showing Add to List option
  2. ツールチップの[アクション]セクションで、[リストへの追加/削除]をクリックします。
    [リストへの追加/削除]ダイアログ ボックスに使用可能なリストが表示されます。
    Add to List dialog
  3. 1つ以上のリストを選択し、[保存]をクリックします。
    エンティティが、選択したリストに表示されます。
    [リストへの追加/削除]ダイアログで追加情報を参照してください。

リストの作成

[対応]ビューから、Context Hubのリストを作成できます。エンティティのリストをホワイトリストおよびブラックリストととして使用するだけでなく、エンティティの異常な動作を監視するために使用できます。たとえば、調査中、疑わしいIPアドレスとドメインの可視性を高めるために、これらを2つの別々のリストに追加することができます。1つのリストは、コマンド&コントロールの接続に関連している疑いがあるドメインのリストとし、もう1つのリストは、リモート アクセスのトロイの木馬の接続に関連するIPアドレスのものとします。これらのリストを使用してセキュリティ侵害インジケータを特定できます。

Context Hubのリストを作成するには、次の手順を実行します。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、Context Hubのリストに追加する下線付きのエンティティにマウスを合わせます。
    コンテキスト ツールチップに使用可能なアクションが表示されます。
  2. ツールチップの[アクション]セクションで、[リストへの追加/削除]をクリックします。
  3. [リストへの追加/削除]ダイアログで、[新しいリストの作成]をクリックします。
    Add/Remove from List dialog Create New List section
  4. 固有の[リスト名]を入力します。リスト名は大文字と小文字を区別しません。
  5. (オプション)リストの[説明]を入力します。
    適切な権限を持つアナリストは、他のアナリストに送信してさらに追跡と分析を行うために、CSV形式でリストをエクスポートすることもできます。詳細については、「Context Hub構成ガイド」を参照してください。

NetWitness Endpointへの移行

NetWitness Endpointシック クライアント アプリケーションがインストールされている場合は、コンテキスト ツールチップから起動できます。そこから、疑わしいIPアドレス、ホスト、MACアドレスをさらに調査できます。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、コンテキスト ツールチップにアクセスしたい下線付きのエンティティにマウスを合わせます。
  2. ツールチップの[アクション]セクションで、[エンドポイントに移行]を選択します。[110]NetWitness Endpoint Thick Clientアプリケーションが、Webブラウザの外で開きます。

シック クライアントの詳細については、「NetWitness Endpointユーザ ガイド」を参照してください。

調査への移行

インシデントの詳細を調査するために、[調査]ビューにアクセスできます。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、コンテキスト ツールチップにアクセスしたい下線付きのエンティティにマウスを合わせます。
  2. ツールチップの[アクション]セクションで、[調査に移行]を選択します。
    [調査]の[ナビゲート]ビューが開き、より詳細な調査を実行できます。

詳細については、「NetWitness Investigateユーザ ガイド」を参照してください。

NetWitnessの外で実行した手順の記録

ジャーナルには、アナリストによって追加されたメモが表示され、同僚とコラボレーションすることができます。ジャーナルにメモをポストし、調査マイルストーン タグ(偵察、配送、エクスプロイト、インストール、コマンド&コントロール)を追加し、インシデント対応アクティビティの履歴を表示できます。

インシデントのジャーナル エントリーの表示

[インシデントの詳細]ビューのツールバーでJournal iconをクリックします。
Details view showing the Journal icon
[インシデントの詳細]ビューの右側に[ジャーナル]が表示されます。
Incident Details view showing Journal panel

[ジャーナル]は、インシデント対応アクティビティの履歴を示します。各ジャーナル エントリーの作成者と作成された時間を確認できます。
Journal Panel

メモの追加

通常、他のアナリストがインシデントを把握できるようにメモを追加したり、後任者がわかるように調査手順を記録するためにメモを追加します。

  1. [ジャーナル]パネルの下部で、[新しいジャーナル エントリー]ボックスにメモを入力します。
    New Journal Entry example
  2. (オプション)ドロップ ダウン リストから調査マイルストーン(偵察、配送、エクスプロイト、インストール、コマンド&コントロール、目的実行、封じ込め、根絶、クローズ)を選択します。

  3. メモの入力が完了したら、[送信]をクリックします。
    [ジャーナル]に、新しいジャーナル エントリーが表示されます。
    Journal showing a successful joural entry

メモの削除

  1. [ジャーナル]パネルで、削除するジャーナル エントリーを見つけます。
  2. ジャーナル エントリーの横にあるごみ箱(削除)アイコンTrash can (delete) iconをクリックします。
    Journal entry showing trash can (delete) icon
  3. 確認ダイアログ ボックスで、[OK]をクリックしてジャーナル エントリーを削除することを確認します。このアクションは元に戻すことができません。
You are here
Table of Contents > インシデントの調査

Attachments

    Outcomes