NetWitness Suiteには、調査の対象に応じて、次のさまざまなスターティング ポイントがあります。[ナビゲート]ビュー、[イベント]ビュー、[イベント分析]ビュー(バージョン11.1)、[ホスト]ビュー(バージョン11.1)、[ファイル]ビュー(バージョン11.1)、[Malware Analysis]ビュー
注:ユーザがNetWitness SuiteSecurity Analyticsの調査を実施するには、特定のユーザ ロールおよび権限が必要です。解析タスクを実行できないか、ビューを表示できない場合、ロールや権限が不足している可能性があります。[ホスト]ビューと[ファイル]ビューはバージョン11.1以降で使用可能です。[イベント分析]ビューはバージョン11.0で使用可能ですが、11.0では[イベント]ビューを経由してアクセスします。
メタデータ、RAWイベント、イベント分析にフォーカス
インシデント対応ワークフローの中で詳細を調査したり、別のツールによって生成されたイベントを戦略的に解析したりするには、[ナビゲート]ビュー、[イベント]ビュー、[イベント分析]ビューのいずれかから開始します。単一のBrokerまたはConcentratorのメタデータを調査します。これらのビューでは、ビューを開いて調査を開始します。そこではクエリを実行して、時間範囲を絞り込んでメタデータのクエリを行うことにより、結果をフィルタできます。次のトピックでは、各ビューでの調査の開始について説明しています。
ホストとファイルにフォーカス
エージェントを実行しているホストの情報を探すには、[ホスト]ビュー([調査]>[ホスト])で調査を始めます。それぞれのホストについて、プロセス、ドライバ、DLL、ファイル(実行可能ファイル)、サービス、実行中のオートラン、ログインしているユーザに関連する情報が表示されます。(「ホストの調査」を参照。)
導入環境にあるファイルの調査は[ファイル]ビューから開始できます([調査]>[ファイル])。(「ファイルの調査」を参照。)
マルウェアを対象としたファイルのスキャンにフォーカス
潜在的なマルウェアを対象としたファイルのスキャン、またはサービスの継続的なスキャンの設定を行うには、[Malware Analysis]から開始します。結果はネットワーク、静的、コミュニティ、サンドボックスの4つのタイプの分析として表示され、IOC(セキュリティ侵害インジケータ)の評価も示されます。Malware Analysisから開始するには、いくつかの方法があります。
- [監視]ビューの[Malware Analysis]ダッシュレットからMalware Analysisを開始すると、最もリスクの高い潜在的な脅威をすばやく見ることができます。
- [調査]>[Malware Analysis]にアクセスすると、Malware Analysisの[イベントのサマリ]を開けます。
- [ナビゲート]ビューでメタ キーを右クリックし、[マルウェアのスキャン]を選択できます。
[Malware Analysis]ビューでの操作の詳細については、「Malware Analysisの実施」を参照してください。