アナリストは、[ナビゲート]ビューまたは[イベント]ビューで調査を実施するときに、構成されたさまざまなソース(ESAなど)から、メタ値またはデータ ポイントに関する追加のコンテキスト情報やインテリジェンスを検索できます。
Context Lookup権限を持つアナリストは、[Investigation]ビューでコンテキスト ルックアップを実行できます。ロールと権限の構成は、管理者が行う必要があります(「システム セキュリティとユーザー管理ガイド」にある「ロールの権限」と「ロールと権限によるユーザーの管理」を参照してくださ)。
コンテキスト ルックアップを実行するには、管理者は次のタスクを完了する必要があります。
- Context HubサービスをSecurity Analyticsに追加します (Context HubサービスはSecurity Analytics 10.6以降に含まれています)。
- 「Context Hub構成ガイド」の説明に従って、Context Hubサービスにデータ ソースを構成します。
コンテキスト ルックアップを使用した追加コンテキストの表示
[Investigation]ビューからのデータ ポイントに関する追加のコンテキストを表示するには、次の手順を実行します。
- Security Analyticsメニューで調査を実施したり、イベントを分析したりしているときに、[ナビゲート]ビューに移動します。
[ナビゲート]ビューには、以下に示すように左側に[値]パネル、右側に[コンテキスト ルックアップ]パネルがあります。コンテキスト ルックアップを実行するまで、[コンテキスト ルックアップ]パネルにデータは表示されません。コンテキスト情報に関連づけられているメタ値がグレーの背景でハイライト表示されます。
- ハイライト表示されているメタ値で使用できるコンテキスト データのタイプを表示するには、ハイライト表示されているメタ値の上にマウス ポインターを合わせます。
インライン インジケーターには、そのメタ値で利用可能なコンテキスト データのタイプ( ECAT、インシデント、アラート、リスト)が示されます。
- [値]パネルからコンテキスト ルックアップ データを表示するには、ハイライト表示されたメタ値を右クリックし、コンテキスト メニューで[コンテキスト ルックアップ]を選択します。
[コンテキスト ルックアップ]パネルには、構成されたソースから取得したルックアップ結果が表示されます。
注:メタ値のインライン インジケーターは、[ナビゲート]ビューでのみ表示されます。[イベント]ビューでは、メタ値に対してオン デマンドでルックアップを実行する必要があります。
[コンテキスト ルックアップ]パネルでの結果の表示
[コンテキスト ルックアップ]パネルで検索結果を確認し、そこから個々のデータをさらに調べることができます。たとえば、特定のインシデント値をクリックして、インシデントの詳細を[Incident Management]ビューに表示することができます。
[コンテキスト ルックアップ]パネルに表示される情報の詳細については、次のトピックを参照してください:Investigation:[コンテキスト ルックアップ]パネル.
