対応:[アラートの詳細]ビュー

Document created by RSA Information Design and Development on Oct 16, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

[アラートの詳細]ビュー([対応]>[アラート]に移動してアラート リストで名前のハイパーリンクをクリック)で、アラートのソース、アラート内のイベントの数、インシデントに追加済みであるかどうかなど、アラートに関するサマリ情報を表示できます。イベントのメタデータのほか、アラート内のイベントに関する詳細情報を表示することもできます。

ワークフロー

次のワークフローは、アナリストがアラートの確認やインシデントの作成に使用するプロセスの概要を示しています。

Incident Details view workflow diagram

[アラートの詳細]ビューでアラート リストを確認したら、それらのアラートをさらに調査し、アラートからインシデントを作成できます。[構成]>[インシデント ルール]ビューでは、インシデントを作成するためのインシデント ルールを作成することができます。

注:NetWitness Suite自動脅威検出を使用すると、手動でルールを作成することなくインシデントを作成することもできます。

実行したいことは何ですか?

                                                     
ロール実行したいこと手順
インシデント対応者、
アナリスト
NetWitness Suiteのすべてのアラートを表示する。

アラートの表示

SOCマネージャ、
管理者
インシデント ルールを作成する。

NetWitness Respond構成ガイド」の「アラートのインシデント ルールの作成」を参照してください。

インシデント対応者、
アナリスト
アラート内のイベントのリストを表示する。*アラートのイベント詳細の表示
インシデント対応者、アナリストアラート内の各イベントのイベント メタデータを表示する。*アラートのイベント詳細の表示

インシデント対応者、
アナリスト

アラート内のイベントをさらに調査する。*

イベントの調査

インシデント対応者、
アナリスト
既存のインシデントにアラートを追加する。

アラートをインシデントに追加

インシデントへの関連インジケータの追加

インシデント対応者、
アナリスト
アラートからインシデントを作成する。インシデントの手動作成
データ プライバシー責任者、
管理者
アラートを削除する。アラートの削除

*これらのタスクはここ(つまり、[アラートの詳細]ビュー)で完了できます。

関連トピック

[アラートの詳細]ビュー

  1. [アラートの詳細]ビューにアクセスするには、[対応]>[アラート]に移動します。

  2. アラートのリストから表示するアラートを選択し、そのアラートの[名前]列のリンクをクリックします。
    [アラートの詳細]ビューには、左側に[概要]パネル、右側に[イベント]パネルがあります。次の図に示すように、より多くの情報を表示するようパネルのサイズを変更することができます。
    Alert Details view

[概要]パネル

[概要]パネルには、選択したアラートに関する基本的なサマリ情報が表示されます。[アラート リスト]ビューの[概要]パネルにも同じ情報が表示されます。詳細については、[アラート リスト]ビューの「[概要]パネル」のトピックを参照してください。

Alert Details view Overview panel (This panel is the same as the Overview panel in the Alerts List view)

[イベント]パネル

[イベント]パネルには、アラートに複数のイベントが含まれる場合、イベント リストが表示されます。アラートのイベントが1つのみの場合、またはイベント リストでイベントをクリックした場合、[イベント]パネルにはイベントの詳細が表示されます。

イベント リスト

選択したアラートのイベント リストには、そのアラートに含まれているすべてのイベントが表示されます。

Alerts Details view - Events panel showing Event List

次の表に、イベント リストに表示される列の一部を示します。

                                               

説明

時間イベントの発生時刻を示します。
タイプ「Log」または「Network」などのアラートのタイプを示します。
ソースIP2台のマシン間のトランザクションがあった場合は、ソースIPアドレスを示します。
宛先IP2台のマシン間のトランザクションがあった場合は、宛先IPアドレスを示します。
検知器のIP異常を検出したマシンのIPアドレスを示します。
ソース ユーザソース マシンのユーザを示します。
宛先ユーザ宛先マシンのユーザを示します。
ファイル名イベントにファイルが関連している場合は、ファイル名が表示されます。
ファイル ハッシュファイルの内容のハッシュを示します。

イベントの詳細

[イベント]パネルのイベントの詳細情報には、アラート内の各イベントのイベント メタデータが表示されます。

Alerts Details view - Events panel showing Event List

イベント メタデータ

次の表に、[イベントの詳細情報]の最初の2列に表示される、一部のイベント メタデータ セクションおよびサブセクションを示します。これは、すべてを網羅するリストではありません。

                                                                                                                                

セクション

サブセクション

説明

データ

 

関連するファイルなど、イベントに関連するデータに関する情報を表示します。イベントによって、0個の場合や複数個含まれる場合があります。
 ファイル名イベントにファイルが関連している場合は、ファイル名が表示されます。
 ハッシュMD5またはSHA1など、ファイルの内容のハッシュを示します。
 サイズイベントに関連する転送またはファイルのサイズを示します。
説明 イベントの一般的な説明が表示されます。
宛先

 

宛先デバイスとユーザを示します。
 デバイス宛先デバイスに関する情報を示します。後述の「イベントのソースまたは宛先デバイスの属性」を参照してください。
 ユーザ宛先のユーザに関する情報を示します。後述の「イベントのソースまたは宛先ユーザの属性」を参照してください。
検知器

 

問題が検出されたホストまたはソフトウェア製品を示します。この情報は、マルウェア スキャナーやログの場合に表示されます

 

デバイス クラス

アラートを検出した製品のデバイス クラスを示します。

 

IPアドレス

アラートを検出した製品のIPアドレスを示します。

 

製品名

アラートを検出した製品の名前を示します。

ドメイン イベントに関連づけられたドメインを示します。
エンリッチメント

 

使用可能なエンリッチメント情報を示します。

関連リンク 利用可能な場合は、ソース製品のUI(ユーザ インタフェース)に戻るリンクが示されます。

 

タイプ

Investigate_original_eventなどのイベントのタイプを示します。

 

URL

ソース製品のUIに戻るURLリンクを示します。

サイズ

 

関連する転送またはファイルのサイズを示します。

ソース ソース デバイスとユーザを示します。

 

デバイス

ソース マシンに関する情報を示します。後述の「イベントのソースまたは宛先デバイスの属性」を参照してください。
 ユーザソース マシンのユーザに関する情報を示します。後述の「イベントのソースまたは宛先ユーザの属性」を参照してください。

タイムスタンプ

 

イベントの発生時刻を示します。

タイプ

 

ログ、ネットワーク、相関、再実行、手動アップロード、オンデマンド、ファイル共有、インスタントIOCなどのアラートのタイプを示します。

イベントのソースまたは宛先デバイスの属性

次の表は、イベントの詳細に表示できるイベント ソースまたは宛先デバイスの属性を示します。

                                                   

名前

説明

資産タイプ

デスクトップ、ラップトップ、サーバ、ネットワーク機器、タブレットなどのデバイスのタイプを表示します。

ビジネスユニット関連づけられているビジネス ユニットを示します。
コンプライアンス評価デバイスのコンプライアンス評価を示します。低、中、高のいずれかに設定されます。
重要度ビジネスにとってのデバイスの重要度(ビジネス上の重要度)を示します。
ファシリティデバイスの位置を示します。
GeoLocationホストの位置情報を示します。都市、国、緯度、経度、組織、ドメインの属性を含めることができます。
IPアドレスデバイスのIPアドレスを示します。
MACアドレスデバイスのMACアドレスを示します。
NetBIOS名デバイスのnetbios名を示します。
ポート

ホストとの間の接続に使用したTCPポート、UDPポート、IP Srcポートのいずれか(使用可能な最初のポート)が表示されます。

イベントのソースまたは宛先ユーザの属性

次の表は、イベントの詳細に表示できるイベント ソースまたは宛先ユーザの属性を示します。

                           

属性名

説明

ADドメイン

Active Directoryドメインを示します。

ADユーザ名Active Directoryユーザの名前を示します。
メール アドレスユーザのメール アドレスを示します。
ユーザ名UNIXや特定のシステムのユーザ名など、ユーザ名のソースがわからない場合の一般的な名前を示します。

ツールバーのアクション

この表には、[アラートの詳細]ビューで使用できるツールバーのアクションが示されています。

                    
オプション説明
Back to Alerts icon (arrow pointing left)

(アラートに戻る)[アラート リスト]ビューに戻ることができます。

Events Details Navigation options showing Back To Table button 矢印をクリックすると、アラート内の各イベントのイベント メタ詳細に移動します。「1/2」などの番号は、現在表示されているイベントの番号を表示します。[テーブルに戻る]をクリックすると、イベント テーブルとも呼ばれる[イベント リスト]ビューに戻ります。

 

You are here
Table of Contents > NetWitness Respondに関する参考情報 > [アラートの詳細]ビュー

Attachments

    Outcomes