調査:[イベントのサマリ]ビューでのダッシュレット データのフィルタ

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[イベントのサマリ]には、選択可能なダッシュレットを使用して調査中のスキャンに関するサマリが表示されます。[イベントのサマリ]にはデフォルトでダッシュレットが配置されていますが、アナリストは各ダッシュレットを構成して、情報のフィルタやドリルダウンを行うことができます。

このトピックの後半で、ダッシュレットの管理と構成の手順を説明します。

スコア ホイールダッシュレットの構成

スコア ホイールは、解析したセッションの概要情報をビジュアル化したもので、それぞれのスコア カテゴリーについて高、中、低のスコアが付けられます。静的、ネットワーク、コミュニティ、サンドボックス)を示します。スコア ホイールは、その内容を確認するセッションを調べる迅速な方法です。カテゴリ別の結果を視覚的に比較できるように、各リングは別々のスコア カテゴリを表します。

Score Wheel dashlet

リングの順序を変更することで、あるカテゴリでフラグが付けられていても別のカテゴリでは付けられていないセキュリティ侵害インジケータをハイライト表示することができます。リングの順序を変更しながら同じ結果を比較することで、セッション内の新しい脆弱性を視覚的に表示でき、関心のあるセッションを詳しく調べることができます。次に、2つの使用例を紹介します。

ゼロ デイ攻撃の候補の例

この例では、コミュニティ カテゴリーでは有害とされておらず、その他すべてのスコア カテゴリーで有害とされているセッションを調べる方法を示します。結果として表示されるセッションはゼロ デイ攻撃の候補を示します。

  1. 次の順序でスコア ホイールのリングを構成します。
    コミュニティ](最も内側)>[静的]>[ネットワーク]>[サンドボックス](最も外側)
  2. 最も内側のリング(コミュニティ)が緑色のスライスになっている部分で、最も外側のリング(サンドボックス)の赤色のスライスをクリックします。緑色(最も内側)->静的]:赤色->ネットワーク]:赤色->
    [サンドボックス]:赤色(最も外側)。 Events List

有害なセッションの例

この例では、結果として表示されるセッションがすべてのスコア カテゴリで有害と示され、Malware Analysisによって、マルウェアである可能性が非常に高いと指定されているセッションを調べる方法を示します。

  1. 次の順序でスコア ホイールのリングを構成します。
    コミュニティ](最も内側)>[静的]>[ネットワーク]>[サンドボックス](最も外側)
  2. 最も内側のリング(コミュニティ)が赤色のスライスになっている、最も外側のリング(サンドボックス)の赤色のスライスをクリックします。赤色(最も内側)->[静的]:赤色->[ネットワーク]:赤色->[サンドボックス]:赤色(最も外側)。 

リングの順序をスコア モジュールごとに並べ替え

スコア ホイールでは、スコア モジュールでリングの順序を調整できます。リングの順序はデフォルトでは内から外に向かって静的、ネットワーク、コミュニティ、サンドボックスの順になっています。

リングの順序を変更するには、次の手順を実行します。

  1. 次のいずれかを実行します。
    1. 各スコア モジュールをクリックしてドラッグし、上下に移動します。
    2. 各スコア モジュールを選択して、上下のボタンを使って移動します。
  2. 表示したいリングの順序になったら、[更新]ボタンをクリックします。
    スコア ホイールが新しい順序で更新されます。

[メタ ツリーマップ]ダッシュレットの構成

メタ ツリーマップ チャートでは、メタのタイプ、カウント、解析のタイプ別にメタの内訳を表示およびフィルタリングできます。3つの選択リストを使ってフィルタを設定すると、メタ ツリーマップ チャートがすぐに更新されます。

Meta Treemap dashlet

[メタの内訳]ダッシュレットの構成

[メタの内訳]ダッシュレットには、特定のメタ キーの値を可視化した情報が円チャートで表示されます。メタの内訳チャートでは、メタのタイプとカウントで、メタの内訳をフィルタできます。2つの選択リストを使ってフィルタを設定すると、メタの内訳チャートがすぐに更新されます。

Meta Breakdowns dashlet

[イベント タイムライン]ダッシュレットの構成

[イベント タイムライン]ダッシュレットには、イベントを可視化した情報がタイムラインで表示されます。[イベント タイムライン]で使用できる追加のフィルタはありません。

Events Timeline dashlet

イベント リストのすべてのイベントを開く

[イベント タイムライン]では、イベントのリスト全体をイベント リストで開くことができます。具体的には、View Events buttonをクリックします。このオプションは、すべてのチャートの[イベント]横のカウントをクリックする場合と異なり、イベント リスト内の現在のドリルダウン ポイントを開きます。

[Malware 極めて疑わしいマルウェアの上位リスト]ダッシュレットの構成

[Malware 極めて疑わしいマルウェアの上位リスト]ダッシュレットでは、最も疑わしい上位10のイベントがイベント リストまたはファイル リストに表示されます。また、このダッシュレットは[監視]ダッシュボードでも使用可能です。構成オプションについては、「Dashlets」のRSA NetWitnessコンテンツの一部として説明されています。


Top Listing of Highly Suspicious Malware dashlet

[高確率IOCとハイスコアのマルウェア]ダッシュレットの構成

[高確率IOCとハイスコアのマルウェア]ダッシュレットには、イベントにマルウェアが含まれている確率およびスコアが高いことを示すセキュリティ侵害インジケータが表示されます。また、このダッシュレットは[Unified]ダッシュボードでも使用可能です。構成オプションについては、「Dashlets」のRSA NetWitnessコンテンツの一部として説明されています。
Malware with High Confidence IOCs and High Scores

[Malware ゼロデイの可能性が高いマルウェアの上位リスト]ダッシュレットの構成

[Malwareゼロデイの可能性が高いマルウェアの上位リスト]ダッシュレットでは、ゼロデイの可能性があるイベントがイベント リストまたはファイル リストに表示されます。また、このダッシュレットは[Unified]ダッシュボードでも使用可能です。構成オプションについては、「Dashlets」のRSA NetWitnessコンテンツの一部として説明されています。

Top Listing of Possible Zero Day Malware dashlet

You are here
Table of Contents > Malware Analysisの実施 > [イベントのサマリ]ビューでのダッシュレット データのフィルタ

Attachments

    Outcomes