Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:[リストへの追加/削除]ダイアログ

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 4Show Document
  • View in full screen mode
 

[リストへの追加/削除]ダイアログを使用すると、既存のContext Hubリストに対してエンティティもしくはメタ値を追加し、エンティティもしくはメタ値を削除し、またはエンティティもしくはメタ値を含む新しいContext Hubリストを作成できます。疑わしいIPアドレスや注意が必要なIPアドレスやその他のエンティティを見つけたときは、データ ソースとして追加されているリストにそのIPアドレスを追加できます。一般的に使用されるリストには、ホワイト リストやブラック リストがあります。これにより、疑わしいIPアドレスの可視性が向上し、誤検知が減るため、余計な調査の必要がなくなります。

複数のリストにエンティティまたはメタ値を追加できます。たとえば、コマンド&コントロール接続に関連する問題のあるドメインのリストに追加し、別のリモート アクセスに関連するトロイの木馬接続のIPアドレスのリストにも追加することができます。リストがない場合は、リストを作成できます。

このダイアログは、NetWitness InvestigateおよびNetWitness Respondで使用できます。Investigateで作業しているときに、[ナビゲート]ビュー、[レガシー イベント]ビュー、または[イベント]ビューで、Source IPDestination IP、またはUsernameメタ キーのメタ値を既存のContext Hubリストに追加したり、メタ値を含む新しいリストを作成したりできます。リストにメタ値を追加すると、それらのメタ値に関する追加のコンテキストを検索することができます。

  • [ナビゲート]ビューや[レガシー イベント]ビューでダイアログを表示するには、Source IPDestination IP、またはUsernameのメタ値を右クリックし、コンテキスト メニューで[リストへの追加/削除]を選択します。
  • [イベント]ビューでダイアログを表示するには、値にカーソルを合わせ、コンテキスト ツールチップのアクション セクションで[リストへの追加/削除]を選択します。

ワークフロー

Context Hubリストにメタ値を追加するための概要レベルのワークフロー

実行したいことは何ですか?

                                                               
ユーザ ロール実行したいこと手順

インシデント対応者または脅威ハンター

環境内で特定された検出と信号の確認

NetWitness Platformスタート ガイド

インシデント対応者

重要なインシデントまたはアラートの確認

NetWitness Respondユーザ ガイド

脅威ハンターサービス、メタデータ、時間範囲のクエリを実行

[イベント]ビューでの調査の開始

[ナビゲート]ビューまたは[レガシー イベント]ビューでの調査の開始

脅威ハンター

メタデータの表示

[ナビゲート]ビューでの結果のフィルタリング

[イベント]ビューでのイベントのドリルダウン(ベータ)

脅威ハンター

連続したイベントの表示

[イベント]ビューでの結果のフィルタリング

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

イベントの再構築と分析

[イベント]ビューでのイベント詳細の調査

[レガシー イベント]ビューでのイベントの再構築

脅威ハンターファイルおよび関連づけられたホストの調査

[イベント]ビューでのデータのダウンロード

[ナビゲート]ビューでのドリルダウン ポイントのエクスポートまたは印刷

[レガシー イベント]ビューでのイベントのエクスポート

脅威ハンタールックアップの実行

結果の追加のコンテキストを検索

メタ キーのルックアップの起動

脅威ハンターインシデントの作成またはインシデントへの追加

[レガシー イベント]ビューでのインシデントへのイベントの追加

[イベント]ビューでのインシデントへのイベントの追加

脅威ハンター

Context Hubリストへのメタ値の追加*

結果の追加のコンテキストを検索

*このタスクは現在のビューで実行できます。

関連トピック

[イベント]ビューの簡単な説明

[イベント]ビューの[リストへの追加/削除]ダイアログの例を次に示します。

簡単な説明 - [リストへの追加/削除]ダイアログ

                             

 

1追加または削除するエンティティまたはメタ値。
2選択したメタを使用して新しいリストを作成します。
3[すべて]、[選択済み]、[未選択]のいずれかのタブを選択します。
4リストの名前または説明を使用して検索します。
5アクションをキャンセルします。
6保存してリストを更新するか、新しいリストを作成します。

次の表に、[リストへの追加/削除]ダイアログのオプションを示します。

                                                   
オプション説明
メタ値1つまたは複数のリストに追加、またはリストから削除する必要がある選択したエンティティまたはメタ値が表示されます。選択した値を使用して新しいリストを作成することもできます。
新しいリストの作成選択されたメタ値を使用して新しいリストを作成するダイアログが表示されます。
ALL使用できるContext Hubリストがすべて表示されます。選択したエンティティまたはメタ値を追加するリストを選択できます。リストにエンティティまたはメタ値を追加するには、チェックボックスを選択します。リストから削除するには、チェックボックスをオフにします。
選択済み選択したエンティティまたはメタ値を含むリストのみが表示されます。(すべてのリストが選択されます。)

未選択

選択したエンティティまたはメタ値を含まないリストのみが表示されます。(すべてのリストが選択解除されます。)
結果のフィルタ処理複数のリストから検索するため、特定のリストの名前または説明を入力します。

LIST

すべてのリストの名前を表示します。

説明選択したリストに関する情報を表示します。「リストの作成時に指定した説明がこのダイアログに表示されます。」たとえば、「このリストには、ブラックリストのIPアドレスがすべて含まれます」などです。

キャンセル

操作をキャンセルします。

保存変更を保存します。

[ナビゲート]ビューおよび[レガシー イベント]ビューの簡単な説明

次の図は、最初に開いたときの[リストへの追加/削除]ダイアログの例です。
これは[リストへの追加/削除]ダイアログです。

次の図に[新しいリストの作成]を選択したときのダイアログを示します。

ダイアログは[新しいリストの作成]をクリックした後でこのように表示されます。

次の表で、[リストへの追加/削除]および[新しいリストの作成]の機能について説明します。

                                                 
機能説明
メタ値既存のリストまたは新しいリストに追加される選択したメタ値。
リスト選択したメタ値を追加するリスト。ドロップダウン メニューには、メタ値を追加できるリストが示されます。
新しいリストの作成選択したメタ値を追加する新しいリストを作成するダイアログが開きます。
リスト名新しいリストの名前。
説明新しいリストの説明。
作成必須入力フィールドを入力した後に新しいリストを作成します。
戻る新しいリストの作成をキャンセルし、元のダイアログに戻ります。
キャンセルリストへのメタ値の追加をキャンセルし、ダイアログ ボックスを閉じます。
保存リストに加えた変更を保存し、ダイアログを閉じます。

You are here
Table of Contents > 調査の参考情報 > [リストへの追加/削除]ダイアログ

Attachments

    Outcomes