調査:[コンテキスト ルックアップ]パネル

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

管理者がContext Hubサービスを構成した後、[調査]の[ナビゲート]ビューと[イベント]ビューで、メタ値に関するコンテキスト情報を参照できます。Context Hubサービスでは、メタ タイプとメタ キーのデフォルトのマッピングが事前に構成されています。Context Hubのメタ値と調査のメタ キーのマッピングの詳細については、「Context Hub構成ガイド」の「メタ タイプとメタ キーのマッピングの管理」を参照してください。

[コンテキスト ルックアップ]パネルは、[ナビゲート]ビューと[イベント]ビューの右側に表示されます。Context Hubリストに追加されているメタ値は、[ナビゲート]ビューまたは[イベント]ビューの結果中で灰色でハイライト表示されます。ハイライト表示されている値を右クリックし、[コンテキスト ルックアップ]を選択すると、表示されるコンテキスト メニューで、選択したメタ値の構成済みのソースの[コンテキスト ルックアップ]パネルにルックアップ結果が表示されます。[コンテキスト ルックアップ]パネル アイコン バーでソースを選択すると、コンテキスト情報を表示できます。

ワークフロー

the high-level Investigate workflow with Perform Internal Lookups highlighted

実行したいことは何ですか?

 

                                                     
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンターメタ値の追加のコンテキストを検索するデータ ポイントの追加コンテキストの表示

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

次の図は、[コンテキスト ルックアップ]パネルの例です。コントロールと機能を表で説明します。

Navigate view with the Context Lookup panel open

                               
機能説明
ソース オプション バー 使用可能なソースのアイコンが表示されます。エンドポイント、インシデント、アラート、リストを示します。
ソース名 選択したアイコンに基づいてソース名が表示されます。
  • エンドポイント
  • インシデント
  • アラート
  • リスト
ソート表示されたコンテキスト情報をソートするオプションをドロップダウンで選択できます。ソート オプションには[重大度 - 高い順]、[重大度 - 低い順]、[日付 - 古い順]、[日付 - 新しい順]があり、ソースのタイプによって異なります。
Refresh icon ルックアップ結果を更新します。
n件のアイテム(最初のn件の結果)フッターに結果の総数と現在表示されている結果の件数が表示されます。たとえば、[50件のアラート(最初の50件のアラート)]のように表示されます。

ルックアップ結果

[コンテキスト ルックアップ]パネルには、構成済みのソースから取得したコンテキスト データに基づいて次の情報が表示されます。

インシデント

インシデントは時間順(新しい順)に表示され、さらに優先度のステータスでソートされます。インシデントのルックアップでは、次の情報が表示されます。

  • インシデントの名前とID
  • インシデントの優先度のステータス
  • インシデントのリスク スコアの値[91]
  • インシデントが作成された日付
  • インシデントのステータス
  • インシデントの割り当て先
  • 更新日:コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
  • タイム ウィンドウ: これは[Respondの構成]ウィンドウの[クエリの対象期間(日数)]フィールドに設定された値に基づいています。詳細については、「Context Hub構成ガイド」の[データ ソースとしてのRespondの構成]のトピックを参照してください。
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

アラート

アラートが重大度に基づいて表示されます。アラートのルックアップでは、次の情報が表示されます。

  • アラート名
  • アラートの重大度の値
  • アラートが作成された日付
  • インシデントID:アラートが関連づけられているインシデントのIDです(該当する場合)。
  • ソース:イベント ソース名
  • アラートに関連するイベントの数。
  • 最終更新: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
  • タイム ウィンドウ: これは[Respondの構成]ウィンドウの[クエリの対象期間(日数)]フィールドに設定された値に基づいています。詳細については、「Context Hub構成ガイド」の[データ ソースとしてのRespondの構成]のトピックを参照してください。
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

リスト

リストのルックアップでは、次の情報が表示されます。

  • リスト名
  • リストを作成したオーナー
  • 作成日
  • 更新日
  • リストの説明

エンドポイント

エンドポイントのルックアップでは、次の情報が表示されます。

  • マシン名とマシンのIPアドレス。
    IPまたはエンドポイント マシン名をクリックすると、エンドポイントUIに移動してさらに詳しい調査を実行できます。
  • 最終更新: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。
  • マシン スコア:マシンIIOCスコアは、モジュールのスコアに基づいて集計されます。
  • モジュールの数:選択したマシンのアクティブなファイルの数。
  • 最終更新: エンドポイント データベースでスキャン結果が最後に更新された時刻を示します。
  • 最後にログインしたユーザ
  • マシンのMACアドレス
  • オペレーティング システムのバージョン
  • 管理メモ(該当する場合)
  • 管理ステータス(該当する場合)
  • 最も疑わしいモジュール(IIOCスコアが500を超えるモジュール)。これは[エンドポイントの構成]ウィンドウの[最小IIOCスコア]フィールドに設定された値に基づいています。[最小IIOCスコア]のデフォルト値は500です。
  • マシンIIOCレベル
You are here
Table of Contents > Investigateの参考情報 > [コンテキスト ルックアップ]パネル

Attachments

    Outcomes