調査:[ホスト]ビュー:[概要]タブ

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

[概要]タブでは、選択したホストの詳細なスキャン結果を確認できます。デフォルトでは、最新のスキャン結果が表示されます。このビューにアクセスするには、[調査]>[ホスト]に移動し、[ホスト]ビューからホストを選択します。

ワークフロー

high-level Investigate workflow with Investigate Endpoints and associated actions highlighted

実行したいことは何ですか?

                                                     
ユーザのロール実行したいこと11.1ドキュメント
脅威ハンター

イベント メタデータを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントを参照する

[ナビゲート]または[イベント]ビューで調査を開始する

脅威ハンター

RAWイベントとメタデータを分析する

[イベント分析]ビューで調査を開始する

脅威ハンターエンドポイントを調査する(バージョン11.1)*ホストの調査

脅威ハンター

不審なエンドポイント ファイルを探す(バージョン11.1)

ファイルの調査

脅威ハンターファイルとイベントをスキャンしてマルウェアを探すMalware Analysisの実施

インシデント対応者

調査でインシデントを優先順位付けする

NetWitness Respondユーザ ガイド

脅威ハンターホストのサマリを表示する* ホストの調査

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

以下は、[概要]タブの例です。

Overview tab

                         
1

エージェントとスキャンの詳細]:選択したホストのエージェントとスキャンについて次の詳細を確認できます。

ホスト名]:ホストの名前。例:WIN-ABC
オペレーティング システム]:エージェントが実行されているオペレーティング システム(Linux、Windows、Mac)。

エージェント スキャン ステータス]:スキャンの現在のステータス。アイドル状態、スキャン中、スキャンの開始中、またはスキャンの停止中。詳細については、「ホストの調査」を参照してください。

エージェント最終確認時間]:エージェントが最後にサーバと通信した日時。

最後のスキャン時間]:エージェントが最後にスキャンされた日時。日付と時刻はユーザ環境設定で設定されたタイム ゾーンに基づいており、サーバのローカル日時です。

エージェント バージョン]:エージェントのバージョン。例:11.1.0.0

2ツールバーのアクション:
スナップショット時間]:スキャンのタイム スタンプを一覧表示します。スキャン履歴を表示するには、ドロップダウン メニューからスナップショット時間を選択します。
スキャン開始]:選択したホストのスキャンを開始します。詳細については、「ホストの調査」を参照してください。
CSVにエクスポート]:ホスト属性をCSVファイルに抽出します。詳細については、「ホスト属性のエクスポート」を参照してください。
エンドポイントに移行]:NetWitness Endpointのホストを調査できます(バージョン4.4.0.2またはそれ以降)。詳細については、「NetWitness Endpoint 4.4.0.2以降のホストの調査」を参照してください。
JSONにエクスポート]:ホスト属性とエンドポイント データを、選択したスナップショットのJSONファイルに抽出します。
3スナップショットの検索。すべてのスナップショットを検索できます(ファイル名、ファイル パス、SHA-256チェックサム)。詳細については、「スナップショットの検索」を参照してください。

4

選択したホストのサマリ。次のフィールドが表示されます。

IPアドレス]:ホストに関連付けられているIPアドレス。例:10.10.10.3

ログイン ユーザ]:ホストにログインしているユーザ。例:abc

セキュリティ構成]:ホストのセキュリティ構成の詳細。たとえば、ファイアウォールが無効または有効、スマート スクリーン フィルタが無効または有効。このフィールドはWindowsとMacのみに適用されます。

注:エージェント バージョン、IPアドレス、ログイン ユーザ、セキュリティ構成は、スキャンごとに異なります。

5[ホスト プロパティ]パネル。選択したホストのすべてのプロパティが表示されます。これは、次のようにグループ化されます。

エージェント]:エージェントID、ドライバのエラー コード、インストール時間、エージェント モードなどのエージェント関連情報。

オペレーティング システム]:オペレーティング システムのバージョンとビルド情報。

ハードウェア]:アーキテクチャ関連の情報。

ネットワーク インタフェース]:MACアドレスやゲートウェイなどのネットワーク アダプタの情報。

ユーザ]:ユーザに関連する情報。

ロケール]:ホストのローカル タイム ゾーンと言語。

You are here
Table of Contents > Investigateの参考情報 > [ホスト]ビュー:[概要]タブ

Attachments

    Outcomes