Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:調査の開始

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 4Show Document
  • View in full screen mode
 

どのような答えを探しているかによって、NetWitness Investigateには、[ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビュー、[ホスト]ビュー、[ファイル]ビュー、[ユーザ(エンティティ)]ビュー、[マルウェア分析]ビューという、さまざまな開始点が用意されています。

ユーザがNetWitness Platformで調査を実行するには、特定のユーザ ロールと権限が必要です。タスクを実行できないか、ビューを表示できない場合は、管理者によりロールや権限の変更が必要となる可能性があります。

  • [ホスト]ビューと[ファイル]ビューは、バージョン11.1以降で使用できます(詳細については、『NetWitness Endpointクイック スタート ガイド』および『NetWitness Endpointユーザ ガイド』を参照してください)。
  • [ユーザ]ビュー(以前の[エンティティ]ビュー)は、バージョン11.2以降で使用できます(詳細については、『NetWitness UEBAクイック スタート ガイド』および『NetWitness UEBAユーザ ガイド』を参照してください)。
  • 11.4の[イベント]ビューは、イベントを調査するためのデフォルトのビューです。アナリストがイベントを分析する際のデフォルトのワークフローを最適化し、複数のビューを移動する必要性を減らしました。以前は[イベント分析]ビューと[イベント]ビューという2つの異なるワークフローで提供していた機能を組み合わせることにより、アナリストは単一のワークフローでイベントを分析できるようになりました。[イベント]ビューに追加された新機能により、[レガシー イベント]ビューは不要になりました。デフォルトで、以前のワークフローは[調査]メニューに表示されなくなりましたが、管理者は『システム構成ガイド』の「調査の設定の構成」の説明に従って再度有効にすることができます。

メタデータ、RAWイベント、イベント分析にフォーカス

インシデント対応ワークフローを進めるために必要なイベントを追跡したり、別のツールがイベントを生成した後で戦略的な分析を行う場合は、[調査]>[ナビゲート][調査]>[イベント]、または[調査]>[レガシー イベント]に移動します。単一のBrokerまたはConcentratorのメタデータとRAWイベントを調査できます。これらのビューでは、クエリを実行し、時間範囲の絞り込みとメタデータの検索により、結果をフィルタリングできます。次のトピックでは、各ビューでの調査の開始について説明しています。

ホストとファイルにフォーカス

Endpointエージェントを実行しているホストの情報を探すには、[ホスト](バージョン11.5)または[調査]>[ホスト](バージョン11.4)に移動します。それぞれのホストについて、実行中のプロセス、ドライバ、DLL、ファイル(実行可能ファイル)、サービス、Autorun、ログインしているユーザに関連する情報が表示されます。導入環境にあるファイルの調査を開始するには、[調査]>[ファイル]に移動します(詳細については、『NetWitness Endpointユーザ ガイド』を参照)。

高リスクのユーザおよびエンティティの振る舞いにフォーカス

ネットワーク環境のすべてのユーザとエンティティによる高リスクの振る舞いを検出、調査、監視するには、[ユーザ](バージョン11.5)、[調査]>[エンティティ](バージョン11.4)、またはNetWitness UEBA(User and Entity Behavior Analytics)に移動します。バージョン11.3以前では、[調査]>[ユーザ]に移動します。悪意のあるユーザや不正ユーザの検出、リスクの高い振る舞いの特定、攻撃の発見、新たなセキュリティ脅威の調査を行うことができます(詳細については、『NetWitness UEBAユーザ ガイド』を参照)。

ファイルのマルウェア スキャンにフォーカス

ファイルの潜在的なマルウェアをスキャンしたり、サービスの定期的なスキャンを設定する場合は、[調査]>[マルウェア分析]に移動します。スキャン結果には、ネットワーク、静的、コミュニティ、サンドボックスの4つのタイプの分析が表示され、IOC(セキュリティ侵害インジケータ)の評価も示されます。マルウェア分析は、次の方法で開始することもできます。

  • [監視]ビューの[マルウェア分析]ダッシュレットからマルウェア分析を開始すると、最もリスクの高い潜在的な脅威をすばやく確認することができます。
  • [ナビゲート]ビューでメタ キーを右クリックし、[マルウェアのスキャン]を選択できます。

詳細については、『Malware Analysisユーザ ガイド』を参照してください。


You are here
Table of Contents > 調査の開始

Attachments

    Outcomes