対応:インシデントの調査

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 4Show Document
  • View in full screen mode
 

[インシデントの詳細]ビューには、インシデントをさらに詳しく調査するため、インシデントに関する追加のコンテキスト情報に移動するリンクが表示されます(情報がある場合)。この追加のコンテキストは、インシデントの特定のエンティティに関する技術的コンテキストとビジネス コンテキストを理解するのに役立ちます。インシデントの全体像を確実に把握するために必要となる追加の情報も提供されます。

コンテキスト情報の表示

[インジケータ]パネル、[イベント リスト]パネル、[イベントの詳細]パネル、ノード グラフには、下線付きのエンティティが表示されます。エンティティに下線がある場合、NetWitness PlatformがContext Hubにそのエンティティ タイプに関する情報を追加していることを意味します。つまり、Context Hubに、そのエンティティに関する追加情報が存在する可能性があります。

次の図は、[インジケータ]パネルとノード グラフの下線付きのエンティティを示します。

Indicators panel and Nodal Graph showing underlined entities

次の図は、[イベントの詳細]パネルの下線付きのエンティティを示します。

Event Details panel showing underlined entities

Context Hubでは、エンティティとメタ フィールドのマッピングを事前構成します。NetWitness RespondとRespond Investigateはコンテキスト ルックアップでこれらのデフォルトのマッピングを使用します。メタ キーを追加する方法については、「Context Hub構成ガイド」の「データ ソース設定の構成」を参照してください。

注意:コンテキスト ルックアップを[対応]ビューと[調査]ビューで正常に動作させるため、[管理]>[システム]>[調査]>[コンテキスト ルックアップ]タブでメタ キーをマッピングする際に、[メタ キー マッピング]にはメタ キーのみを追加し、MongoDBのフィールドは追加しないことを推奨します。たとえば、ip.addressはメタ キーですが、ip_addressはメタ キーではなくMongoDBのフィールドです。

コンテキスト情報を表示するには、次の手順を実行します。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、下線付きのエンティティにマウスを合わせます。
    コンテキスト ツールチップに、選択したエンティティで利用可能なコンテキスト データのタイプについて簡単なサマリが表示されます。
    Nodal Graph showing context tooltip
    コンテキスト ツールチップには、2つのセクションがあります。[コンテキストのハイライト]と[アクション]です。
    Context tooltip
    コンテキストのハイライト]セクションの情報は、必要なアクションを判断するのに役立ちます。インシデント、アラート、リスト、エンドポイント、Live Connect、重要度、資産リスクの関連するデータを表示できます。データによっては、これらのアイテムをクリックして詳細を確認できます。
    上記の例では、30件の関連インシデント、36件のアラート、1件の選択されたIPリスト、低エンドポイント、高重要度、および高資産リスクを示しています。選択したIPアドレス エンティティについて言及しているLive Connectの情報はありません。
  1. アクション]セクションには、使用可能なアクションが表示されます。上の例では、[リストへの追加/削除]、[[調査]>[ナビゲート]への移行]、[Archerへの移行]、[Endpoint Thick Clientへの移行]の各オプションを使用できます。

注:Archerデータが使用できない場合、またはArcherデータ ソースが応答しない場合、[Archerへの移行]リンクは無効になります。RSA Archer設定が有効で、正しく設定されていることを確認します。

詳細については、「[調査]>[ナビゲート]への移行」、「Archerへの移行」、「NetWitness Endpoint Thick Clientへの移行」、「ホワイトリストへのエンティティの追加」を参照してください。

  1. 選択したエンティティの詳細を表示するには、[コンテキストの表示]ボタンをクリックします。
    [コンテキスト ルックアップ]パネルが開き、エンティティに関連するすべての情報が表示されます。
    次の例は、選択したIPアドレスのコンテキストの情報を示しています。選択したIPアドレスが含まれるすべてのインシデントが一覧表示されています。
    Context panel

[Context Hubルックアップ]パネル内のさまざまなビューを理解するには、
[対応]ビューの[コンテキスト ルックアップ]パネル 」を参照してください。

ホワイトリストへのエンティティの追加

下線付きの任意のエンティティを、コンテキスト ツールチップから、ホワイトリストまたはブラックリストなどのリストに追加できます。たとえば、誤検知を減らすために、下線付きのドメインをホワイトリストに追加して、関連エンティティから除外します。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、Context Hubのリストに追加する下線付きのエンティティにマウスを合わせます。
    コンテキスト ツールチップに使用可能なアクションが表示されます。
    Nodal graph showing Add to List option
  2. ツールチップの[アクション]セクションで、[リストへの追加/削除]をクリックします。
    [リストへの追加/削除]ダイアログ ボックスに使用可能なリストが表示されます。
    Add to List dialog
  3. 1つ以上のリストを選択し、[保存]をクリックします。
    エンティティが、選択したリストに表示されます。
    [リストへの追加/削除]ダイアログで追加情報を参照してください。

リストの作成

[対応]ビューから、Context Hubのリストを作成できます。エンティティのリストをホワイトリストおよびブラックリストととして使用するだけでなく、エンティティの異常な動作を監視するために使用できます。たとえば、調査中、疑わしいIPアドレスとドメインの可視性を高めるために、これらを2つの別々のリストに追加することができます。1つのリストは、コマンド&コントロールの接続に関連している疑いがあるドメインのリストとし、もう1つのリストは、リモート アクセスのトロイの木馬の接続に関連するIPアドレスのものとします。これらのリストを使用してセキュリティ侵害インジケータを特定できます。

Context Hubのリストを作成するには、次の手順を実行します。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、Context Hubのリストに追加する下線付きのエンティティにマウスを合わせます。
    コンテキスト ツールチップに使用可能なアクションが表示されます。
  2. ツールチップの[アクション]セクションで、[リストへの追加/削除]をクリックします。
  3. [リストへの追加/削除]ダイアログで、[新しいリストの作成]をクリックします。
    Add/Remove from List dialog Create New List section
  4. リスト固有の[リスト名]を入力します。リスト名は大文字と小文字を区別しません。
  5. (オプション)リストの[説明]を入力します。
    適切な権限を持つアナリストは、他のアナリストに送信してさらに追跡と分析を行うために、CSV形式でリストをエクスポートすることもできます。詳細については、「Context Hub構成ガイド」を参照してください。

[調査]>[ナビゲート]への移行

インシデントの詳細を調査するために、[調査]、[ナビゲート]ビューにアクセスできます。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、コンテキスト ツールチップにアクセスしたい下線付きのエンティティにマウスを合わせます。
  2. ツールチップの[アクション]セクションで、[[調査]>[ナビゲート]への移行]を選択します。
    [調査]の[ナビゲート]ビューが開き、より詳細な調査を実行できます。

詳細については、「NetWitness Investigateユーザ ガイド」を参照してください。

Archerへの移行

RSA Archer® Cyber Incident & Breach Responseでデバイスの詳細を表示するには、デバイスの詳細ページに移行できます。この情報は、IPアドレス、ホスト、およびMACアドレスに対してのみ表示されます。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、コンテキスト ツールチップにアクセスしたい下線付きのエンティティ(IPアドレス、ホスト、およびMACアドレス)にマウスを合わせます。
  2. アクション]セクションで、[Archerへの移行]を選択します。
  3. アプリケーションにログインしている場合は、「RSA Archerサイバー インシデントおよび侵害対応」が開き、それ以外の場合はログイン画面が表示されます。

注:Archerデータが使用できない場合、またはArcherデータソースが応答しない場合、[Archerへの移行]リンクは無効になります。RSA Archer設定が有効で、正しく設定されていることを確認します。

詳細については、『RSA Archerとの統合ガイド』を参照してください。

NetWitness Endpoint Thick Clientへの移行

NetWitness Endpointシック クライアント アプリケーションがインストールされている場合は、コンテキスト ツールチップから起動できます。そこから、疑わしいIPアドレス、ホスト、MACアドレスをさらに調査できます。

  1. [インジケータ]パネル、イベント リスト、イベントの詳細、ノード グラフで、コンテキスト ツールチップにアクセスしたい下線付きのエンティティにマウスを合わせます。
  2. ツールチップの[アクション]セクションで、[Endpoint Thick Clientへの移行]を選択します。
    NetWitness Endpoint Thick Clientアプリケーションが、Webブラウザの外で開きます。

シック クライアントの詳細については、「NetWitness Endpointユーザ ガイド」を参照してください。

「インジケータのイベント分析の詳細の表示」の表示

[インシデントの詳細]ビューの[インジケータ]パネルでは、リストされたインジケータに関連付けられたイベントをさらに詳しく見て、イベントの理解を深めることができます。[イベント分析]パネルでは、対話型機能を使用してRAWイベントとメタデータを表示できます。対話型機能により、意味のあるパターンをデータから検出する能力が向上します。[イベント分析]パネルでは、ネットワーク、ログ、エンドポイントのイベントを調査できます。「応答」ビューの「イベント分析」パネルには、特定のインジケータ イベントについて[調査]の[イベント分析]ビューが表示されます。[イベント分析]ビューの詳細については、『NetWitness Investigateユーザ ガイド』を参照してください。

注:[対応]ビューの[イベント分析]を表示するには、次のInvestigate-serverの権限が必要です:
event.read
content.reconstruct
content.export

移行に関する考慮事項

NetWitness Platformの11.2より前のバージョンから移行されたインシデントは、[対応]の[インシデントの詳細]ビューの[インジケータ]パネルで「イベント分析]パネルが表示されません。同様に、11.2より前のバージョンから移行されたアラートを使用して11.2でインシデントを作成した場合も、それらのインシデントの[対応]ビューにある[イベント分析]パネルを表示することはできません。

[インジケータ]パネルでイベントのイベント分析の詳細にアクセスするには、次を実行します。

  1. [対応]>[インシデント]に移動します。
  2. [インシデント リスト]ビューで、表示するインシデントを選択し、そのインシデントの[ID]または[名前]列のリンクをクリックします。
    [インシデント詳細]ビューが表示されます。
  3. [インシデントの詳細]ビューの左側のパネルで[インジケータ]を選択します。
    Incident Details view with Indicators panel in view
    データ ソースの情報は、インジケータの名前の下に表示されます。作成日と時刻、インジケータのイベントの数も確認できます。イベント分析(EA)情報が利用可能な場合は、次の図に示すように、イベントの前にEAアイコンが表示されます。
    Event with EA icon visible
  4. EAアイコンのあるイベントをクリックすると、追加のイベント情報が表示されます。
    Indicators panel showing additional event details
  5. イベント内のイベント タイプ ハイパーリンクをクリックすると、[イベント分析]パネルが開きます。次の例では、イベント タイプはNetworkです。
    Indicators panel showing event type hyperlink
    [イベント分析]パネルには、パケット分析の詳細など、イベントのイベント詳細が表示されます。使用できる情報は、イベント タイプによって異なります。
    Incident Details view showing the Event Analysis panel for the selected event
    [イベント分析]ビューの詳細については、『NetWitness Investigateユーザ ガイド』を参照してください。

注:イベント分析URLリンクを別のアナリストに送信する場合は、イベント タイプ ハイパーリンクをコピーします。

NetWitnessの外で実行した手順の記録

ジャーナルには、アナリストによって追加されたメモが表示され、同僚とコラボレーションすることができます。ジャーナルにメモをポストし、調査マイルストーン タグ(偵察、配送、エクスプロイト、インストール、コマンド&コントロール、意図されたアクション、封じ込め、除去、および終了)を追加し、インシデント対応アクティビティの履歴を表示できます。

インシデントのジャーナル エントリーの表示

[インシデントの詳細]ビューのツールバーでJournal iconをクリックします。
Details view showing the Journal icon
[インシデントの詳細]ビューの右側に[ジャーナル]が表示されます。
Incident Details view showing Journal panel

[ジャーナル]は、インシデント対応アクティビティの履歴を示します。各ジャーナル エントリーの作成者と作成された時間を確認できます。
Journal Panel

メモの追加

通常、他のアナリストがインシデントを把握できるようにメモを追加したり、後任者がわかるように調査手順を記録するためにメモを追加します。

  1. [ジャーナル]パネルの下部で、[新しいジャーナル エントリー]ボックスにメモを入力します。
    New Journal Entry example
  2. (オプション)ドロップ ダウン リストから調査マイルストーン(予備調査、配信、悪用、インストール、コマンド&コントロール、意図されたアクション、封じ込め、除去、終了)を選択します。

  3. メモの入力が完了したら、[送信]をクリックします。
    [ジャーナル]に、新しいジャーナル エントリーが表示されます。
    Journal showing a successful joural entry

メモの削除

  1. [ジャーナル]パネルで、削除するジャーナル エントリーを見つけます。
  2. ジャーナル エントリーの横にあるごみ箱(削除)アイコンTrash can (delete) iconをクリックします。
    Journal entry showing trash can (delete) icon
  3. 表示された確認ダイアログ ボックスで、[OK]をクリックしてジャーナル エントリーを削除することを確認します。このアクションは元に戻すことができません。

filehashの評価ステータスの表示

filehashの評価ステータスを表示できます。Context Hubからfilehashに関する情報が使用されます。つまり、Context Hubに、そのエンティティに関する追加情報が存在する可能性があります。

コンテキスト情報を表示するには、次の手順を実行します。

  1. インシデント]タブで、インシデントをクリックします。
  2. filehashにカーソルを合わせます。
  3. 評価ステータスが表示されます。

You are here
Table of Contents > インシデントの調査

Attachments

    Outcomes