調査:データ ポイントの追加コンテキストの表示

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

 

[イベント]ビューまたは[ナビゲート]ビューでは、Context Hubでイベントに関連付けられた要素に関する詳細とインテリジェンスを検索することができます。RSA NetWitness Endpointなどの構成されたソースからのデータは、何が起こっているのかを理解するために役立ちます。

これらの構成要素またはエンティティは、IPアドレス、ユーザ名、ホスト名、ドメイン名、ファイル名、ファイル ハッシュなどの識別子です。指定されたエンティティに関する外部情報を検索するために、NetWitness SuiteはContext Hubを使用します。Context Hubは、複数の構成可能なデータ ソースからのエンティティに関するデータを統合する、一元化されたサービスです。このデータにより、特定のクエリで即座に得られる結果を超えて、追加のコンテキストで調査を拡張することができます。たとえば、Context Hubにより、指定したエンティティがインシデント、アラート、フィード、コミュニティ インテリジェンスの関連資料で言及されているかどうかを確認することができます。

Investigateでエンティティを右クリックすると、Context Hubは構成されたデータ ソースに関連情報をクエリします。ブラウザ ウィンドウの右側から[コンテキスト検索]パネルが開きます。[コンテキスト検索]パネルには、利用可能になったContext Hubの情報が入力されます。

別の検索を実行するには、別のエンティティを右クリックすると、そのエンティティの情報で[コンテキスト検索]パネルが更新されます。

[コンテキスト検索]パネルを閉じるには、そのパネルのXをクリックします。

[コンテキスト ルックアップ]パネルで、個々のデータ ソースを表示してさらに調べることができます。たとえば、特定のインシデント値をクリックして、特定のインシデントの詳細を[対応]ビューに表示することができます。

[コンテキストルックアップ]パネルで各データ ソースに表示される情報の詳細については、「 [コンテキスト ルックアップ]パネル」を参照してください。

アナリストがコンテキスト情報を表示できるようにするために、管理者は次のことを実行する必要があります。

  • システム セキュリティとユーザ管理ガイド」の「ロールの権限」および「ロールと権限によるユーザの管理」で説明されている権限Context Lookupがアナリストに付与されていることを確認します。
  • RSA NetWitness SuiteにContext Hubサービスを追加します。
  • Context Hub構成ガイド」の説明に従って、Context Hubサービスにデータ ソースを構成します。

注:NetWitness Suite 11.xのすべてのドキュメントの一覧を確認するには、NetWitness Logs & Packets 11.xの「マスター目次」に移動します。

[コンテキスト サマリ]パネルに情報を表示するには:

  1. [ナビゲート]ビューまたは[イベント]ビューで、追加のコンテキストを表示するメタ値を特定し、メタ値にカーソルを合わせます。
    コンテキストのハイライト]パネルに、データ ソースに利用可能なコンテキスト データのタイプの簡単なサマリが表示されます。NetWitness Endpoint、インシデント、アラート、ホスト、ファイル、フィード、Live Connect。
  2. メタ値を右クリックして、ドロップダウン メニューで[コンテキスト検索]をクリックし、[コンテキスト検索]パネルを開きます。
    This is the menu with Context Lookup
    ブラウザ ウィンドウの右側から[コンテキスト サマリ]パネルが開きます。[コンテキスト サマリ]パネルには、利用可能になったContext Hubの情報が入力されます。
  3. [コンテキスト]パネルからアクションを実行するには、IPアドレスなどのエンティティをクリックしてから、右クリックします。
    次のオプションを使用できます。[新しいタブでリンクを開く]、[Investigateでクエリ]、[リンクをコピー]、[ペースト]、[Googleルックアップ]、[Virus Totalルックアップ]、[エンドポイントでクエリ]。

 
You are here
Table of Contents > [ナビゲート]ビューおよび[イベント]ビューでのクエリとデータの処理 > データ ポイントの追加コンテキストの表示

Attachments

    Outcomes