調査:[ナビゲート]および[イベント]ビューでの追加のコンテキストの検索

Document created by RSA Information Design and Development on Oct 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

 

[イベント]ビューおよび[ナビゲート]ビューでは、Context Hubでイベントに関連づけられた要素に関する詳細とインテリジェンスを検索することができます。(バージョン11.2以降では、「[イベント分析]ビューで追加のコンテキストを検索する」で説明されているように、[イベント分析]ビューで追加のコンテキストを検索することもできます。これらの要素(エンティティ)は、IPアドレス、ユーザ名、ホスト名、ドメイン名、ファイル名、ファイル ハッシュなどの識別子です。RSA NetWitness Endpointなどの構成されたソースからのデータは、何が起こっているのかを理解するために役立ちます。

注:コンテキスト情報の表示を有効にするには、管理者がContext HubサービスをRSA NetWitness Platformに追加し、『Context Hub構成ガイド』の説明に従って、Context Hubサービスのデータ ソースを構成する必要があります。『システム セキュリティとユーザ管理ガイド』の「ロールの権限」および「ロールと権限によるユーザの管理」で説明されている権限Context Lookupがアナリストに付与されている必要があります。NetWitness Plarform Logs & Network 11.xのすべてのドキュメントの一覧は、「マスター目次」で確認できます。

Context Hubは、複数の構成可能なデータ ソースからのエンティティに関するデータを統合する、一元化されたサービスです。このデータにより、特定のクエリで即座に得られる結果を超えて、追加のコンテキストで調査を拡張することができます。たとえば、Context Hubにより、指定したエンティティがインシデント、アラート、フィード、コミュニティ インテリジェンスの関連資料で言及されているかどうかを確認することができます。

[ナビゲート]ビューと[イベント]ビューでは、関連づけられたコンテキスト データを持つエンティティが灰色の背景でハイライト表示されます。エンティティにカーソルを合わせると、使用可能なデータのサマリーを示すホバー ボックスが表示されます。エンティティを右クリックすると、Context Hubは構成されたデータ ソースに関連情報を照会し、[コンテキスト検索]パネルがブラウザ ウィンドウの右側から開きます。[コンテキスト検索]パネルには、利用可能になったContext Hubの情報が入力されます。別の検索を実行するには、別のエンティティを右クリックすると、そのエンティティの情報で[コンテキスト検索]パネルが更新されます。

example of the Navigate view with the Context Lookup panel open

[コンテキスト検索]パネルで、個々のデータ ソースを表示してさらに調べることができます。各データ ソースに表示される情報の詳細については、「 [コンテキスト ルックアップ]パネル」を参照してください。

「ナビゲート」ビューまたは「イベント」ビューの[コンテキスト検索]パネルで情報を表示するには、次を実行します。

  1. それぞれのメタ値にカーソルを合わせると、データが使用可能なデータ ソースが表示されます。
    ホバー ボックスには、メタ値に使用できるコンテキスト データを持つデータ ソースの一覧が表示されます。選択可能なデータ ソースは次のとおりです。NetWitness Endpoint、インシデント、アラート、ホスト、ファイル、フィード、Live Connect。
  2. メタ値を右クリックして、ドロップダウン メニューで[コンテキスト検索]をクリックし、[コンテキスト検索]パネルを開きます。
    This is the menu with Context Lookup
    ブラウザ ウィンドウの右側から[コンテキスト検索]パネルが開きます。[コンテキスト検索]パネルには、利用可能になったContext Hubの情報が入力されます。
  3. [コンテキスト検索]パネルからアクションを実行するには、IPアドレスなどのエンティティをクリックします。
    次のオプションを使用できます。[新しいタブでリンクを開く]、[Investigateでクエリ]、[リンクをコピー]、[ペースト]、[Googleルックアップ]、[Virus Totalルックアップ]、[エンドポイントでクエリ]。

  4. [コンテキスト検索]パネルを閉じるには、そのパネルのXをクリックします。
 
You are here
Table of Contents > [ナビゲート]ビューおよび[イベント]ビューでのクエリとデータの処理 > [ナビゲート]および[イベント]ビューでの追加のコンテキストの検索

Attachments

    Outcomes