調査:メタ キーの外部ルックアップの起動

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、デフォルトの調査プラグインを使用して、[ナビゲート]ビューまたは[イベント]ビューでデータの調査を行いながら、NetWitness Suiteの外部のツールを使用して特定のメタ キーの外部ルックアップを実行する手順について説明します。

アナリストは、デフォルトで提供されているNetWitness Suite Investigation外部ルックアップを使用して、調査の時間を短縮できます。デフォルトで利用可能なルックアップ機能は、次のいずれかのメタ キーを右クリックすると使用できます: IPアドレス(ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)host (alias-host, domain.dst)client,file-hash.

IPおよびhostの各メタ キーについては、NetWitness Suiteに次の検索機能が組み込まれています。

  • Google Malware: Google Malware検索を新しいタブで開きます。
  • McAfee SiteAdvisor:McAfee SiteAdvisor検索を新しいタブで開きます。
  • BFK Passive DNS Collection:  BFK Passive DNS Collection検索を新しいタブで開きます。
  • CentralOps Whois for IPs and Hostnames: CentralOps Whois for IPs and Hostnames検索を新しいタブで開きます。
  • Malwaredomainlist.com検索:Malwaredomainlist.com検索を新しいタブで開きます。
  • Malwaredomains.com検索:Malwaredomains.com検索を新しいタブで開きます。
  • Robtex IP検索:Robtex IP検索を新しいタブで開きます。
  • SamSpade検索:SamSpade検索を新しいタブで開きます。
  • ThreatExpert検索:ThreatExpert検索を新しいタブで開きます。
  • UrlVoid検索:UrlVoid検索を新しいタブで開きます。

file-hashおよびalias-hostの各メタ キーで外部ルックアップからGoogleを選択すると、Google検索が新しいタブで開きます。

clientメタ キーには、ECATルックアップ オプションが提供されており、ブラウザと同じマシンにECATクライアントがインストールされている場合、ECATクライアントが新しいタブで開きます。

管理者は、外部ルックアップやその他のカスタム アクションを追加できます(「システム構成ガイド」の「コンテキスト メニューのカスタム アクションの追加」を参照してください)。

ECAT IOCルックアップの起動

[ナビゲート]ビューからデータのECATルックアップ機能を起動する方法

  1. ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dstclient.のいずれかのメタ キーのメタ値を右クリックします。
  2. コンテキスト メニューで[外部ルックアップ]を選択します。
    外部ルックアップのサブメニューが表示されます。
    External Lookup submenu
  3. ECAT IOCルックアップ]を選択します。
    アプリケーションを選択するよう求めるダイアログが表示されます。
  4. ECATを選択し、[OK]をクリックします。
    [RSA ECAT Configuration]ダイアログが表示されます。
    RSA ECAT Configuration dialog
  5. ECATクライアントへのログインに必要なユーザ名とパスワードを入力して、[Connect
    ]をクリックします。ドリルダウン ポイントがRSA ECATで開きます。
    a drill point from Investigate opened in RSA ECAT

その他の外部ルックアップの起動

[ナビゲート]ビューからデータの外部ルックアップ機能(ECAT IOC以外)を起動する方法 

  1. ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip, alias-host, domain.dstclient.のいずれかのメタ キーのメタ値を右クリックします。
  2. コンテキスト メニューで[外部ルックアップ]を選択します。
    外部ルックアップのサブメニューが表示されます。
    External Lookup submenu
  3. いずれかの検索オプションを選択します。
    選択したメタ値が指定された検索機能で開きます。たとえば、SANS IP Historyを選択した場合は、ドリルダウン ポイントの情報がSANS Internet Storm Centerに表示されます。
    SANS IP Lookup
You are here
Table of Contents > [ナビゲート]ビューのメタデータの調査 > メタ キーの外部ルックアップの起動

Attachments

    Outcomes