調査:座標表示チャートへのメタデータの追加

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

アナリストは、[ナビゲート]ビューで座標表示チャートを使用できます。これにより、異常なイベントの兆候を示し、調査する価値のあるメタ キーとメタ値の組み合わを集中的に調査できるようになります。

注:バージョン11.1以降では、メタ キーを使用可能な場所では、構成済みのメタ エンティティも使用できます。

座標表示チャートは、調査の現在のドリルダウン ポイントをビジュアル化し、3個以上のメタ キーを同時に調査するために使用されます。複数のメタ キーを同時にビジュアル化すると、多変量パターンおよび比較に関連したセキュリティ問題を特定するうえで役立ちます。例えば、個々のメタ キーとメタ値には問題がなくても、それらを組み合わせたときに異常なパターンや関係が明らかになる場合があります。メタ グループ(「メタ グループの管理」を参照)を効果的に使用して、座標表示チャートに追加するメタ キーのコレクションを定義することができます。

効果的な座標表示チャートに関するベスト プラクティス

効果的な座標表示チャートを作成するには、以下の推奨事項を実行します。

  • すべてのデータをビジュアル化しようとするのではなく、[ナビゲート]ビューの1つのドリルダウン ポイントから開始します。
  • 必要に応じて時間範囲を制限します。
  • 可能な限り少ない数の有益なメタ キーを軸として表示するよう選択します。
  • メタ値間の異常性が強調されるように、チャート内の直線に沿って軸の順序を指定します。
  • 有益なメタ キーとその順序を特定できる場合は、将来の調査で使用するカスタム メタ グループを作成します。たとえば、Windows実行可能ファイル タイプのカスタム メタ グループを作成できます。
  • 新規インストールに含まれているRSAのすぐに利用可能な(OOTB)メタ グループを使用します。
  • カスタム メタ グループを.jsnファイルとしてインポートおよびエクスポートすることによって、グループを再利用したり共有したりします。
  • カスタム メタ グループごとに2つのバージョンを作成しておくと便利です。1つはメタ値の分析に使用し、もう1つは同じユースケースの小規模サブセットに重点を置いた座標表示チャートの作成に使用します。

注:メタ グループをインポートする時、既存のメタ グループが含まれていると、エラー メッセージが表示されます。重複したグループをインポートするには、まず既存のグループを削除しておかなければなりません。プロファイルによって使用されているメタ グループは削除できません。

NetWitness Suiteでは、効果的な座標表示チャートを構築するため、いくつかの最適化が可能です。

  • アナリストは、すべてのメタ キーを含んでいるセッションのみをチャートで表示するよう指定できます。
  • 管理者は、[管理]>[システム]>[調査]の[座標表示の設定]で、表示するメタ値の数を増やすことができます。

座標表示で使用できるRSAメタ グループ

NetWitness Suiteには、事前定義されたメタ グループのセットが含まれています。最新のバージョンを取得する場合は、[メタ グループの管理]ダイアログでメタ グループ ファイル(MetaGroups_ootb_w_query.jsn)をインポートできます。座標表示チャートに適した標的型アクティビティとしては、次のようなものがあります。

  • ボットネット ビーコン
  • コバート チャネル
  • メール
  • 暗号化セッション
  • エンドポイント分析
  • ファイル分析
  • Malware Analysis
  • アウトバウンドHTTP
  • アウトバウンドSSL/TLS
  • SQLインジェクション攻撃
  • 脅威分析
  • Web分析

座標表示チャートの表示

[調査]>[ナビゲート]ビューで、次の手順を実行します。

  1. [値]パネルの上の[チャート]パネルが閉じられている場合は、[チャートの表示]を選択します。
  2. ツールバーで、[メタ]>[メタ グループの使用]>[ファイル(マルウェア)解析]を選択します。
  3. ]パネルの[Forensic Fingerprint]メタ キーの下で、windows_executablex86 peの順にクリックします。階層リンクに「filetype = 'windows_executable' | filetype = 'x86 pe'」と表示されます。
    values in the Values panel
  4. 現在のドリルダウン ポイントのデフォルトのタイムライン チャートが表示されます。
    default visualization in the Navigate view
  5. チャート]パネルで[オプション]を選択します。
    [チャート オプション]ダイアログが表示されます。
  6. チャートの表示]ドロップダウン リストから[座標表示]を選択して、[適用]をクリックします。
    Visualization Options dialog
    チャートがロードされます。この例では、249個のイベントが見つかり、199個の一意のパスがビジュアル化されます。
    example of a parallel coordinates visualization

座標表示チャートで使用するメタ キーの選択

座標表示チャートが開いた状態で、次の操作を行います。

  1. チャート]パネルで[オプション]を選択します。
    [チャート オプション]ダイアログが表示されます。ツールバーのic-info2.pngをクリックすると、見やすいチャートに適した軸数が表示されます。推奨される軸の数は、ブラウザのサイズによって変化します。ブラウザ ウィンドウを拡大すると、推奨される数は増加します。
    the Visualization Options dialog
  2. メタ キーの順序を変更するには、メタ キーを上下にドラッグして目的の順序に変更します。
  3. メタ キーを削除するには、選択ボックス内をクリックして、icon-remove.pngをクリックします。
    メタ キーが削除されますが、変更は適用されません。
  4. 元の状態に戻すには、icon-revert.pngをクリックします。
    削除したメタ キーがすべてリストアされ、行った変更がすべて削除されます。
  5. メタ キーを個別に選択する場合は、the add iconをクリックし、[デフォルトのメタ キーから追加]を選択し、ドロップダウン リストからメタ キーを選択します。
    From Default Meta Keys drop-down list
    選択したキーが表示されます。
    selected keys listed in the Add Keys to Parallel Coordinates Visualization dialog
  6. メタ グループ内のすべてのメタ キーを追加する必要がある場合、メタ キーを個別に追加する必要はありません。[メタ グループから追加]を選択して、ドロップダウン リストからグループを選択します。
    From Meta Groups drop-down list in the Add Keys to Parallel Coordinates Visualization
    選択したメタ グループがフィールドに表示されます。
  7. キーまたはグループの追加方法を、[現在のキーのリストを置き換え]、[現在のキーのリストの後に挿入]、[現在のキーのリストの先頭に挿入]から選択します。
    Method to add meta keys is Replace the current list of keys
  8. 処理手順を完了するには、[追加]をクリックします。
    [チャート オプション]ダイアログに、選択したメタ キーまたはメタ グループが表示されます。
  9. 新しいチャートを表示するには、[適用]をクリックします。
    Parallel coordinates visualization

座標表示チャートの最適化

  1. すべてのメタ キーを含んでいないイベントを削除することによってチャートを最適化するには、[オプション]を選択します。
    Visualization options
  2. [ビジュアル化オプション]ダイアログで[すべてのメタ キーが1つのイベントに存在する必要があります]を選択します。[適用]をクリックします。
    結果として表示されるチャートは、見やすく便利になり、固有パスの数が減少します。
    Parallel Coordinates visualization with All Keys Must Exist in an Event in effect
  3. 少数の点を選択し、左右に伸びるパスをハイライト表示するには、軸をクリックします。カーソルが十字線に切り替わり、ドラッグして軸上の値を選択できるようになります。マウスを離すと、パスがハイライト表示されます。次の例では、SSLサービス タイプがグレーのボックスでハイライト表示されています。
    Parallel Coordinates visualization with a small set of points highlighted
  4. チャートを拡大するには、パネルの下縁を下方向にドラッグし、ブラウザ ウィンドウの右縁をドラッグして広げます。

使用例

次の例では、セッションのファイル メタデータを表すメタ キーを座標表示チャートに表示しています。左から右に、Extensions、Forensic Fingerprint、Filenameという3つのメタ キー(軸)があり、各軸に沿って値が表示されます。Extension軸の値はファイル拡張子を示し、Forensic Fingerprint軸の値はWindows実行可能ファイルのタイプを示します。通常、ファイル拡張子と、想定されるフォレンジック フィンガープリントは一致します。しかし、gifファイル タイプがWindows実行可能ファイル フィンガープリントと組み合わせになることは異常です。gifファイル拡張子は、ファイル タイプ(x86pe)、3番目の軸の2つのファイル名との関連をハイライト表示するために選択されています。これにより、アナリストは調査に役立つファイルをすばやく特定できます。

このビューにアクセスするには、次の手順を実行します。

  1. 値の昇順で並べ替えます。
  2. 2つのフィルタ(file type = 'windows executable'およびextension = 'gif')を[ナビゲート]ビューに適用し、データの量を制限します。
  3. 3つの軸を選択して座標表示チャートを構成します。file extensionforensic fingerprintfilename
    parallel coordinates visualization with three axes

大量データセットのチャートの例

座標表示チャートに大量のデータセットを適用したこの例では、アナリストがチャートの内容を理解するうえで役立ついくつかのメッセージを示しています。

  • チャートを作成するため、メタ値のスキャンがNetWitness Suiteによって開始され、結果が返されます。典型的な時間範囲に含まれるメタ値の数は、最大で1,000万個に達する場合があります。返されるメタ値の数がメタ値の結果制限に達すると、メタ値のスキャン制限と等しい数のメタ値がNetWitness Suiteによってスキャンされていない場合でも、チャートが表示されます。
  • 座標表示チャートに表示できるデータ量には一定の制限があります。NetWitness Suite 10.4以前では、この制限が、軸数にデータ値を掛け合わせた値(パフォーマンスを保護する場合は1,000 x軸数)に基づいて決定されますが、NetWitness Suite 10.5以降では、管理者が、[管理]>[システム]>[Investigation]で、座標表示の制限値を構成します。

parallel coordinates visualization illustrating messages to help user understand

大量データセットの場合、小量データセットとメタ キーの場合と比べて、座標表示チャートの処理に時間がかかります。NetWitness Suiteは、パフォーマンスを維持するために、管理者が設定した制限値に達するまで、[値]パネルからのメタ値をチャートに表示します。制限値に達した場合は、次のような情報メッセージが表示されます:イベントのサブセットのみが表示されます。

チャートに表示された249個のイベントのうち、一意の座標表示パスは示したのは199個だけです。イベントの中にはすべてのメタ キーを含まないものがあり、そのようなイベントには、メタ値が存在しないことを意味するDNEというラベルがつけられます。

You are here
Table of Contents > [ナビゲート]ビューのメタデータの調査 > 座標表示チャートへのメタデータの追加

Attachments

    Outcomes