This website uses cookies. By clicking OK, you consent to the use of cookies. Click Here to learn more about how we use cookies.
OK
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

RSA NetWitness® Platformプラットフォームのドキュメント(日本語)

RSA NetWitness Platformの公式ドキュメント(日本語)を参照して、役立つチュートリアル、ステップバイステップの手順、およびその他の貴重なリソースを確認してください。
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

  

Context Hubサービスを構成した後、Investigationモジュールの[ナビゲート]ビューと[イベント]ビューで[コンテキスト ルックアップ]パネルを表示できます。このパネルを初めて表示した際、コンテキスト ルックアップの実行手順が表示されます。以降、このパネルは最小化されますが、必要に応じて拡張できます。

[コンテキスト ルックアップ]パネルでは、メタ値のコンテキスト ルックアップを実行するまで、すべてのデータは表示されません。コンテキスト情報に関連づけられているメタ値は、グレーの背景でハイライト表示されます。選択したメタ値のさまざまな構成済みのソースについて、検索結果が[コンテキスト ルックアップ]パネルに表示されます。このパネルに関連する手順については、次のトピックを参照してください:データ ポイントの追加コンテキストの表示.

このパネルにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[ナビゲート]または[イベント]を選択します。

  2. メタ値を右クリックし、コンテキスト メニューで[コンテキスト ルックアップ]を選択します。

    [コンテキスト ルックアップ]パネルにコンテキスト情報が表示されます。

  3. アイコン バーで対応するアイコンをクリックして、コンテキスト情報を表示するソースを選択します。

次の図に、[コンテキスト ルックアップ]パネルの例を示します。

ConLkpPnl_289x454.png

機能

[コンテキスト ルックアップ]パネルのコントロールと機能を次に示します。

                               
機能説明

ソース オプション バー
lookup-icons2_161x151.png

使用可能なソースのアイコンが表示されます。ECAT、インシデント、アラート、リストを示します。 
ソース名

選択したアイコンに基づいてソース名が表示されます。

  • ECAT
  • インシデント
  • Alerts
  • LISTS
並べ替え表示されたコンテキスト情報をソートするオプションをドロップダウンで選択できます。ソート オプションには[重大度 - 高い順]、[重大度 - 低い順]、[日付 - 古い順]、[日付 - 新しい順]があり、ソースのタイプによって異なります。
ic-refresh2_23x20.png ルックアップ結果を更新します。
n件のアイテム(最初のn件の結果)フッターに結果の総数と現在表示されている結果の件数が表示されます。たとえば、[50件のアラート(最初の50件のアラート)]のように表示されます。

ルックアップ結果

[コンテキスト ルックアップ]パネルには、構成済みの各種のソースから取得したコンテキスト データに基づいて次の情報が表示されます。

インシデント

インシデントは時間順(新しい順)に表示され、さらに優先度のステータスでソートされます。インシデントのルックアップでは、次の情報が表示されます。

  • インシデントの名前とID
  • インシデントの優先度のステータス
  • インシデントのリスク スコアの値
  • インシデントが作成された日付
  • インシデントのステータス
  • インシデントの割り当て先
  • 更新日:コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。 
  • タイム ウィンドウ:Incident Managementのレスポンスの構成]ウィンドウの[クエリーの対象期間]フィールドに設定された値に基づきます。詳細については、「Context Hub構成ガイド」の[Incident Management応答の構成]ダイアログを参照してください。
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

次の図に、インシデントのルックアップ結果の例を示します。
F-lookup-panel-incidents_701x336.png

Alerts

アラートが重大度に基づいて表示されます。アラートのルックアップでは、次の情報が表示されます。

  • アラート名
  • アラートの重大度の値
  • アラートが作成された日付
  • インシデントID:アラートが関連づけられているインシデントのIDです(該当する場合)。
  • ソース:イベント ソース名
  • アラートに関連するイベントの数。
  • 更新日: コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。 
  • タイム ウィンドウ: [Incident Managementのレスポンスの構成]ウィンドウの[クエリーの対象期間]フィールドに設定された値に基づきます。「Context Hub構成ガイド」を参照してください。 
  • ソート:このドロップダウン フィールドのオプションを使用して、時間または優先度に基づいて結果のソートを変更できます。

次の図に、アラートのルックアップ結果の例を示します。

F-lookup-panel-alerts_701x336.png

LISTS

リストのルックアップでは、次の情報が表示されます。

  • リスト名
  • リストを作成した所有者
  • 作成日
  • 更新日
  • リストの説明

次の図に、リスト データ ソースのルックアップ結果の例を示します。

F-lookup-panel-lists_701x336.png

ECAT

ECATのルックアップでは、次の情報が表示されます。

  • マシン名とマシンのIPアドレス。 
    IPまたはECATマシン名をクリックすると、ECATユーザー インタフェースに移動してさらに詳しい調査を実行できます。
  • 更新日:コンテキスト データを最後にデータ ソースからフェッチして、キャッシュを更新した時刻を示します。 
  • マシン スコア:モジュールのスコアに基づいてマシンのIIOCスコアが集計されます。
  • モジュールの数:選択したマシンのアクティブなファイルの数。 
  • 更新日: ECATデータベースでスキャン結果が最後に更新された時刻を示します。
  • 最後にログインしたユーザー
  • マシンのMACアドレス
  • オペレーティング システムのバージョン
  • 管理メモ(該当する場合)
  • 管理ステータス(該当する場合)
  • 最も疑わしいモジュール(IIOCスコアが500を超えるモジュール)。[Incident Managementのレスポンスの構成]ウィンドウの[最小IIOCスコア]フィールドで設定された値に基づきます。[最小IIOCスコア]のデフォルト値は500です。
  • マシンIIOCレベル

次の図に、ECATデータ ソースのルックアップ結果の例を示します。

F-lookup-panel-ecat_701x336.png

You are here
Table of Contents > Investigationの参考資料 > [コンテキスト ルックアップ]パネル
Labels (1)
Labels:
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2020 RSA Security LLC or its affiliates.
All rights reserved.