調査:[イベント分析]ビューでのデータの操作

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[イベント分析]ビューで興味のあるデータが見つかったら、NetWitness EndpointやRSA Liveへの内部ルックアップを実行したり、SANS IP HistoryやThreatExpert検索などのコミュニティ リソースでメタ値の外部ルックアップを実行することができます。

NetWitness Endpont Thick Clientでエンドポイント イベントを開く

[テキスト分析]パネルでエンドポイント イベントを表示しているときに、同じイベントを分析するためにNetWitness Endpointに移行できます。NWE Thick Clientは、NetWitness Endpoint Insightsに組みまれた機能以外の追加の機能を提供します。

注:バージョン4.4のNetWitness Endpoint(NWE)Thick Clientを同じサーバにインストールする必要があります。NWEメタ キーがLog Decoderのtable-map.xmlファイル内に存在する必要があります。また、NWEメタ キーがindex-concentrator-custom.xmlファイル内に存在する必要があります。NWE Thick Clientは、Windows専用のアプリケーションです。完全なセットアップ手順は、バージョン 4.4の「NetWitness Endpoint User Guide」を参照してください。

NetWitness Endpointでイベントを開くには、次の手順を実行します。

  1. [ナビゲート]ビューを開き、次の手順を実行します。
    1. クエリ]ドロップダウンで、[詳細]を選択し、次のクエリのいずれかを入力します。nwe.callback_id exists または device.type='nwendpoint'
      エンドポイント データが[値]パネルに表示されます。
    2. イベントを右クリックし、メニューで[イベント分析]を選択します。
  2. (バージョン11.1以降)[調査]>[イベント分析]に移動します。クエリ ビルダに、次のクエリのいずれかを入力します。nwe.callback_id exists または device.type='nwendpoint'
    エンドポイント データが[イベント]パネルに表示されます。
  3. イベントを選択します。
    [イベント分析]が開き、選択したイベントが[テキスト分析]に表示されます。
    an endpoint event open in Text Analysis
  4. イベント ヘッダーをクリックして[エンドポイントへの移行]をクリックします。
    URL ecatui://<id>で新しいブラウザ タブが開き、NWE Thick Clientが起動されます。NetWitness Endpoint Thick Clientがインストールされていない場合は、データが表示されず、次のメッセージが表示されます:Applicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client

イベント分析でのメタ値のルックアップの実行

[イベント分析]ビューでは、特定のメタ値を右クリックして、ドロップダウン メニューのオプションを使用することにより、イベント内のメタ値をさらに調査することができます。すべてのフィールドに右クリック アクションがあるわけではありません。内部ルックアップと外部ルックアップを実行するには、次の手順を実行します。

  1. [イベント分析]ビューで、イベント リスト、[イベント メタ]パネル、またはイベント ヘッダー内のメタ値を右クリックします。一部のメタ値にドロップダウン メニューがあります。
    Right click on meta values for further actions
  2. 次の内部ルックアップのいずれかを選択します。
    コピー:メタ値をクリップボードにコピーします。
    新しいタブで再フォーカスして調査:新しいタブで、選択したメタ値にフォーカスした別の調査を開始します。
    新しいタブでドリルダウン:新しいタブで、[ナビゲート]ビューを開き、データをドリルダウンします。
    新しいタブで!EQUALSドリルダウン:新しいタブを開き、(!EQUALS)をメタに適用して、結果からメタ値を効率的に除外します。
    ホスト ルックアップ:[調査]>[ホスト]ビューで値を検索します。
    Endpoint Thick Clientルックアップ: Endpoint Thick Clientでメタ値を分析します(Endpointエージェントがインストールされたクライアントの場合)。
    Liveルックアップ:さらに分析するためにLiveでメタ値を検索します。
  3. 外部ルックアップの場合は、メタ値にポインタを合わせて、右クリックし、[外部ルックアップ]を選択します。
    External lookups from Event Analysis
  4. サブメニューで、使用可能な外部ルックアップのいずれかを選択します。
    Google:Google.comでメタ値を検索します。
    SANS IP History:SANS IP History(ドメイン = http://isc.sans.org/ipinfo.html?ip=ipaddress)でメタ値を検索します。
    CentralOps Whois for IPs and Hostnames:CentralOps Whois for IPs and Hostnames(ドメイン = http://centralops.net/co/DomainDossier.aspx?addr=domain&dom_whois=true&dom_dns=true&net_whois=true)でメタ値を検索します。
    Robtex IP検索:Robtext IP検索(ドメイン = https://www.robtex.com/cidr/domain.ipaddress)でメタ値を検索します。
    IPVoid:IPVoid(ドメイン = http://www.ipvoid.com/scan/domain/)でメタ値を検索します。
    URLVoid:URLVoid(ドメイン = http://www.urlvoid.com/scan/ipaddress/)でメタ値を検索します。
    ThreatExpert検索:ThreatExpert検索(ドメイン = http://www.threatexpert.com/reports.aspx?find=IP address)でIPメタ値を検索します。
You are here
Table of Contents > [イベント分析]ビューでのRAWイベントとメタ データの分析 > [イベント分析]ビューでのデータの操作

Attachments

    Outcomes