[ナビゲート]ビュー、[イベント]ビュー、または[レガシー イベント]ビューで興味のあるデータが見つかったら、NetWitness EndpointやRSA Liveへの内部ルックアップを実行したり、SANS IP HistoryやThreatExpert検索などのコミュニティ リソースでメタ値の外部ルックアップを実行することができます。
アナリストは、外部ルックアップを使用して、調査の時間を短縮できます。外部ルックアップを使用するには、次のいずれかのメタ キーを右クリックします。IPアドレス(ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)、host (alias-host、, domain.dst)およびclient,
ipおよびhostの各メタ キーについては、NetWitness Platformに次の検索機能が組み込まれています。
- Google Malware:Google Malware検索を新しいタブで開きます。
- SANS IP History:SANS IP History検索を新しいタブで開きます。
- McAfee SiteAdvisor:McAfee SiteAdvisor検索を新しいタブで開きます。
- Endpoint Thick Client Lookup:NetWitness Endpoint Thick Client検索を新しいタブで開きます。
- BFK Passive DNS Collection:BFK Passive DNS Collection検索を新しいタブで開きます。
- CentralOps Whois(IPおよびホスト名検索):CentralOps Whois(IPおよびホスト名検索を新しいタブで開きます。
- Malwaredomainlist.com検索:Malwaredomainlist.com検索を新しいタブで開きます。
- Robtex IP検索:Robtex IP検索を新しいタブで開きます。
- ThreatExpert検索:ThreatExpert検索を新しいタブで開きます。
- IPVoid検索:UrlVoid検索を新しいタブで開きます。
file-hashおよびalias-hostの各メタ キーで外部ルックアップからGoogleを選択すると、Google検索が新しいタブで開きます。
clientメタ キーでは、ブラウザと同じマシンにEndpoint Thick Clientがインストールされている場合、NetWitness Endpointルックアップ オプションによってEndpoint Thick Clientが新しいタブで開きます。
管理者は、外部ルックアップやその他のカスタム アクションを追加できます(「システム構成ガイド」の「コンテキスト メニューのカスタム アクションの追加」を参照してください)。
[イベント]ビューでのEndpoint Thick Clientルックアップの起動
[テキスト]パネルでエンドポイント イベントを表示しているときに、同じイベントを分析するためにNetWitness Endpointに移行できます。
注: バージョン4.4.0.xのNetWitness Endpoint(NWE)Thick Clientを同じサーバにインストールする必要があります。NWEメタ キーがLog Decoderのtable-map.xmlファイル内に存在する必要があります。また、NWEメタ キーがindex-concentrator-custom.xmlファイル内に存在する必要があります。NWE Thick Clientは、Windows専用のアプリケーションです。完全なセットアップ手順は、バージョン 4.4の『NetWitness Endpointユーザ ガイド』を参照してください。
NetWitness Endpointでイベントを開くには、次の手順を実行します。
- [ナビゲート]ビューを開き、次の手順を実行します。
- [クエリ]ドロップダウンで、[詳細]を選択して、次のクエリのいずれかを入力します。nwe.callback_id exists または device.type='nwendpoint'
エンドポイント データが[値]パネルに表示されます。 - イベントを右クリックし、メニューで[イベント]を選択します。
- [クエリ]ドロップダウンで、[詳細]を選択して、次のクエリのいずれかを入力します。nwe.callback_id exists または device.type='nwendpoint'
- (バージョン11.1以降)[調査]>[イベント]に移動します。[クエリ]ドロップダウンで、[詳細]を選択して、次のクエリのいずれかを入力します。nwe.callback_id exists または device.type='nwendpoint'
エンドポイント データが[値]パネルに表示されます。 - イベントを選択します。
[イベント]ビューが開き、選択したイベントが[テキスト]ビューに表示されます。 - イベント ヘッダーで、[エンドポイントへの移行]をクリックします。
新しいブラウザ タブでURL ecatui://<id>が開き、NWE Thick Clientが起動されます。NetWitness Endpoint Thick Clientがインストールされていない場合は、データが表示されず、次のメッセージが表示されます。Applicable for hosts with 4.x Endpoint agents installed, please install the NetWitness Endpoint Thick Client.
[ナビゲート]ビューでのEndpoint Thick Clientルックアップの起動
[ナビゲート]ビューからデータのEndpoint Thick Clientルックアップ機能を起動する方法:
- 次のいずれかのメタ キーのメタ値を右クリックします。ip-src, ip-dst、ipv6-src、ipv6-dst、orig_ip、alias-host、domain.dst、またはclient.
- コンテキスト メニューで[外部ルックアップ]を選択します。
外部ルックアップ オプションのサブメニューが表示されます。 - [Endpoint Thick Clientルックアップ]を選択します。
[サーバに接続]ダイアログが表示されます。 - Endpoint Thick Clientへのログインに必要なユーザ名とパスワードを入力して、[接続]をクリックします。
NetWitness Endpointでドリル ポイントが開きます。
イベントでのメタ値のルックアップの実行
[イベント]ビューでは、特定のメタ値を右クリックして、ドロップダウン メニューのオプションを使用することにより、イベント内のメタ値をさらに調査することができます。すべてのフィールドに右クリック アクションがあるわけではありません。内部ルックアップと外部ルックアップを実行するには、次の手順を実行します。
- [イベント分]ビューで、イベント リスト、[イベント メタ]パネル、またはイベント ヘッダー内のメタ値を右クリックします。一部のメタ値にドロップダウン メニューがあります。
-
次の内部ルックアップのいずれかを選択します。
- コピー:メタ値をクリップボードにコピーします。
- 新しいタブで再フォーカスして調査:新しいタブで、選択したメタ値に焦点を当てた別の調査を起動します。
- 新しいタブでドリルダウン:ドリルダウンを適用して、新しいタブで起動し、[ナビゲート]ビュー内のデータをドリルダウンします。
- 新しいタブで!EQUALSドリルダウン:(!EQUALS)をメタに適用して、新しいタブを起動すると、結果からメタ値が効率的に除外されます。
- ホスト ルックアップ:[調査]>[ホスト]ビューで値を検索します。
- Endpoint Thick Clientルックアップ:Endpoint Thick Clientでメタ値を分析します(Endpointエージェントがインストールされたクライアントの場合)。
- Liveルックアップ:さらに分析するためにLiveでメタ値を検索します。
- 外部ルックアップの場合は、メタ値にポインタを合わせて、右クリックし、[外部ルックアップ]を選択します。
-
サブメニューで、使用可能な外部ルックアップのいずれかを選択します。
- Google:Google.comでメタ値を検索します
- SANS IP History:SANS IP Historyでメタ値を検索します(domain = http://isc.sans.org/ipinfo.html?ip=ipaddress)
- CentralOps Whois(IPおよびホスト名検索):CentralOps Whois(IPおよびホスト名検索)でメタ値を検索します(domain = http://centralops.net/co/DomainDossier.aspx?addr=domain&dom_whois=true&dom_dns=true&net_whois=true)
- Robtex IP Search:Robtext IP Searchでメタ値を検索します(domain = https://www.robtex.com/cidr/domain.ipaddress)
- IPVoid:IPVoidでメタ値を検索します(domain = http://www.ipvoid.com/scan/domain/)
- URLVoid:URLVoidでメタ値を検索します(domain = http://www.urlvoid.com/scan/ipaddress/)
- ThreatExpert検索:ThreatExpert検索でIPメタ値を検索します(domain = http://www.threatexpert.com/reports.aspx?find=IP address)
[ナビゲート]ビューからのその他の外部ルックアップの起動
[ナビゲート]ビューからデータの外部ルックアップ(NetWitness Endpoint Thick Clientルックアップ以外)を起動するには、次の手順を実行します。