調査:[イベント]ビュー

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[イベント]ビューでは、アナリストは、イベントのリストを表示し、分析対象イベントを選択するほか、データ内の重要なパターンを的確に特定するインタラクティブな機能を使用して、RAWイベントとメタデータを表示することができます。これは、静的な[レガシー イベント]ビューと[イベント再構築]ビューの代わりに使用することをお勧めします。[イベント]ビューでは、ネットワーク、ログ、エンドポイント イベントを表示できます。[イベント]ビューには、パケット、テキスト、ログ、メールの再構築が表示されます。イベントのWeb再構築を開くと、[レガシー イベント]ビューで使用したものと同じWeb再構築が表示されます。

ワークフロー

次の図は、NetWitnessの[調査]で実行できるタスクを示す概要レベルのワークフローです。[イベント]ビューのタスクが赤色でハイライト表示されています。このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。

[イベント分析]ビューでの調査のワークフロー

実行したいことは何ですか?

                                                          
ユーザ ロール実行したいこと手順
インシデント対応者

重要なインシデントまたはアラートの確認

NetWitness Respondユーザ ガイド

脅威ハンターサービス、メタデータ、時間範囲のクエリを実行*

[イベント]ビューでの結果のフィルタリング

[ナビゲート]ビューでの結果のフィルタリング

[ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

メタデータの表示*

[イベント]ビューでのイベントの分析

結果セットの絞り込み

脅威ハンター

RAWイベント データの表示*

[イベント]ビューでの結果のフィルタリング

[イベント]ビューでのイベントの分析

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

イベントの再構築*

[イベント]ビューでのイベントの分析

[イベント]ビューでのイベントの再構築

[レガシー イベント]ビューでのイベントの再構築

脅威ハンターファイルの検証*

[イベント]ビューでのデータのダウンロード

[ナビゲート]ビューでのドリルダウン ポイントのエクスポートまたは印刷

[レガシー イベント]ビューでのイベントのエクスポート

脅威ハンタールックアップの実行*

結果の追加のコンテキストを検索

メタ キーのルックアップの起動

脅威ハンターインシデントの作成またはインシデントへの追加*

[レガシー イベント]ビューでのインシデントへのイベントの追加

[イベント]ビューでのインシデントへのイベントの追加

脅威ハンター

Context Hubリストへのメタ値の追加*

結果の追加のコンテキストを検索

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

このビューには複数のアクセス ポイントがあります。詳細については「[イベント]ビューでの調査の開始」を参照してください。[対応]ビューから[イベント]ビューにアクセスすると、インシデント内の選択したイベントの分析を確認できます。オプションは、[調査]ビュー内からイベントを開いたときに使用できるオプションのサブセットです。機能を完全に有効化し、他のイベントを確認するには、[イベント]ビューに直接移動します([調査]>[イベント])。

[イベント]ビューの[イベント]パネルには、イベントが時間の昇順で表示されます。表示されるイベントは、[[ナビゲート]ビュー]ビューまたは[レガシー イベント]ビューのドリルダウン ポイントの結果、または[イベント]ビューのクエリ バーで入力されたクエリの結果です。

クエリの入力フィールドが表示されるので、サービスや時間範囲を選択し、オプションのクエリを入力できます。クエリを送信すると、調査対象のサービスによって、最大10,000イベントの結果がカウントされ、10,000個のネットワーク、ログ、エンドポイント イベントが[イベント]パネルにロードされます。表示される列は、選択した列グループによって異なります。列の並べ替えやサイズ変更、標準提供またはカスタムの列グループの選択、表示する列の個別の選択を行えます。関心のあるイベントが見つかった場合は、イベントをクリックすると、新しいパネルで再構築(パケット、テキスト、ファイル)が開きます。

注: 11.3より前のバージョンでは、最初の100イベントがロードされます。リストをスクロールして、リストの最後尾にある[次の100イベントを表示]をクリックします。次のページに含まれているイベントが100個より少ない場合は、残りのイベント数を反映してボタンの表示が変わります。

次の図は、バージョン11.1以降の[イベント]ビューの主な機能を示しています。

                                                             
1クエリ バー:サービスを選択すると、サービス セレクター、時間範囲セレクター、入力したクエリが表示されます。「[イベント]ビューでの調査の開始」の説明に従ってサービスを選択し、「[イベント]ビューでの結果のフィルタリング」の説明に従ってクエリを調整できます。クエリ送信アイコンをクリックすると、クエリが送信され、選択したサービスに対してデータ ロードの要求が送信されます。バージョン11.3以降では、クエリ コンソール アイコン(コンソール アイコン)をクリックすると、クエリ コンソールが開き、クエリの詳細なステータスが表示されます(後掲の「クエリ コンソール」を参照)。
2

分析対象イベントのタイプと再構築のタイプは、見出しに反映されます。

  • イベント タイプには、ネットワーク イベントの詳細ログ イベントの詳細エンドポイント イベントの詳細があります。
  • イベント タイプで使用できる分析のタイプは、テキスト、パケット、ファイル、メール、Webです。ネットワーク イベントでは、テキスト、パケット、ファイル、メール(バージョン11.4.1以降)のすべてのタイプの分析を使用できます。ログおよびエンドポイントのイベントでは、テキスト分析のみを使用します。メール タイプ(バージョン11.4.0.x以前)とWebタイプでは、[イベント]ビューで現在のイベントがメールまたはWebの再構築として開かれます。詳細については、「[イベント]ビューでのイベントの再構築」を参照してください。
3[イベント]パネルが閉じている場合に再度開きます。詳細については、「[イベント]ビューでのイベントの分析」を参照してください。
4[イベント]ビューの環境設定を設定します(「[イベント]ビューの構成」を参照)。
5

[イベント]パネルのタイトル。

  • バージョン11.3以降では、[イベント]パネルのタイトルが以前のバージョンのタイトルとわずかに異なり、行番号インジケータが追加されました。タイトルには、イベント数とソート順が表示されます。たとえば、[24,000イベント(昇順)]は、24,000個のイベントが見つかったことと、それらが昇順で表示されていることを意味します。10,000個を超えるイベントが見つかった場合は、最も古い10,000イベントのみが昇順で表示され、ロードされなかったイベントがあることを示す黄色の三角形が表示されます。これは、クエリを絞り込む必要があることを示している可能性があります。ここに表示されるイベントを絞り込む方法の詳細については、「[イベント]ビューでの結果のフィルタリング」を参照してください。
  • 11.3より前のバージョンでは、見つかったイベントの数が表示され、一度に100イベントをロードできます。バージョン11.4以降では、検索ボタンをクリックすると、[テーブルでテキストを検索]ダイアログが開きます。
6[列グループ]ドロップダウンには、[イベント]パネルに適用できる標準提供の列グループとカスタム列グループが表示されます。標準提供の列グループは、バージョン間で更新されることがあります。標準提供の列グループには、Email Analysis、Endpoint Analysis、Malware Analysis、Outbound HTTP、Outbound SSL/TLS、Summary Listなどがあります。デフォルトの列グループはSummary Listです。詳細については、「イベント リストでの列と列グループの使用」を参照してください。
7[ダウンロード]ドロップダウン メニューには、イベント データのダウンロードに使用できるオプションが表示されます。オプションはそれぞれ、[ログ]、[表示可能なメタ]、[ネットワーク]です(「結果のダウンロードと処理」を参照)。[イベント環境設定]ダイアログでは、イベント タイプ データで優先的に使用する形式を変更できます(「[イベント]ビューの構成」を参照)。
8

[インシデントの作成]ボタンをクリックして、イベントからインシデントを作成できます。[インシデントへの追加]ボタンを使用すると、既存の未解決インシデントに選択したイベントを追加できます(「[イベント]ビューでのインシデントへのイベントの追加」と「[レガシー イベント]ビューでのインシデントへのイベントの追加」を参照)。

9列の選択設定が表示され、[イベント]パネルに表示する列を個別に選択できます。詳細については、「イベント リストでの列と列グループの使用」を参照してください。
10

イベント ヘッダーの表示/非表示、リクエストとレスポンスの表示/非表示、イベント メタ パネルの表示を行うコントロール。詳細については、「[イベント]ビューでのイベントの分析」を参照してください。

11パネルのサイズを変更して、パネルを閉じるコントロール。詳細については、「[イベント]ビューでのイベントの分析」を参照してください。
12

イベント ヘッダーには、現在分析中のイベントに関するサマリー情報が表示されます。選択したイベントが、[イベント]パネルで青色の背景でハイライト表示されます。サマリー情報は、イベント タイプ(パケット、ログ、エンドポイント)によって異なります。

13

現在分析中のイベントのイベント データ。

14

[イベント メタ]パネルには、データで見つかったメタ キーと値が表示されます。このデータは、アルファベット順と生成順という2つの方法でソートできます。一部のメタ データは検索可能です。双眼鏡アイコンをクリックすると、関連するデータがイベント データでハイライト表示されます(「[イベント]ビューでのイベントの分析」を参照)。

  • パケットの場合、データはペイロードと呼ばれ、リクエストとレスポンスの形式で表示されます。
  • ログ イベントの場合、データはRAWログからのテキスト行です。
  • エンドポイント イベントの場合、イベント データは、ネットワーク内のホストで実行されているNetWitness Endpointエージェントからのデータに関連します。たとえば、単一プロセス、ドライバ、DLL、ファイル(実行可能ファイル)、サービス、Autorunのほか、ログインしているユーザに関連した情報などです(エンドポイント イベント データの詳細については、『NetWitness Endpointユーザ ガイド』を参照してください)。

クエリ コンソール

クエリ コンソール アイコン(コンソール アイコン)をクリックすると、クエリ コンソールが開き、クエリの詳細なステータスが表示されます。

クエリが完了した後のクエリ コンソールの例

クエリ コンソールでは、クエリによって照会されたサービス、時間範囲、メタデータのほか、クエリのステータスに関するリアルタイム情報も確認できます。コンソールの下部にある進行状況バーには、クエリの完了率が表示されます。ステータス情報からは、クエリで今行われている処理(実行中、キューに登録済み、クエリ対象サービスのインデックス ファイルの読み取り中、イベントの取得中、完了など)についての詳細を知ることができます。ステータスと致命的でないメッセージは受信されるとすべて表示され、致命的でないエラーが発生すると、境界線の色が変わります。詳細については、「クエリのステータスの表示」を参照してください。

クエリ コンソールに表示されるメッセージの中には、追加の説明が必要なものがあります。

メッセージ:インデックス スライス%3%のメタ キー%2%で%1%の最大値制限(valueMax)に達しました

説明:クエリ対象インデックスで、指定されたメタ キーのvalueMaxプロパティに到達しました。管理者は、ADMIN > Services > [Service Name] > Files > index-[service type].xmlまたはindex-[service type]-custom.xmlのインデックス ファイルでこの値を設定します。たとえば、インデックス ファイルの次のステートメントでは、clientというメタ キーの値の数がデフォルトで250,000に制限されています。

<key description="Client Application" level="IndexValues" name="client" format="Text" valueMax="250000" />

メッセージ:チャネル%2%のクエリは、時間の使用制限を超過しているため、システムによって自動でキャンセルされました。タイムアウト値を確認してください。

実行時間に対する操作あたりの制限がサーバにあり、要求された操作がこの制限を超過しました。このエラーを回避するには、小さい時間範囲などの小さな要素に操作を分割します。

メモリ制限の%1%に達しました。これは、max.query.memoryを設定することによって制御されます

メモリ使用率に対する操作あたりの制限がサーバにあり、要求された操作がこの制限を超過しました。この制限はサーバのメモリ容量に関連しており、管理者はこの値を[管理]>[サービス]>[<サービス名>]>[sdk]>[config]で調整できます。このエラーを回避するには、小さい時間範囲などの小さな要素に操作を分割します。

バージョン11.0.0.x(生産終了)の簡単な説明

次の図は、バージョン11.0.0.xの[イベント分析]ビューの主な機能を示します。

バージョン11.0の[イベント分析]ビュー

                                                 
1読み取り専用階層リンクは、選択されたサービス、時間範囲、[ナビゲート]ビューまたは[イベント]ビューに入力されたクエリを表示します。
2これは、[ナビゲート]または[イベント]ビューで作成されたクエリに基づくイベントの読み取り専用リストです。[イベント]パネルにはイベントの数が表示されます。列の並べ替えとサイズ変更ができます。リストの一番下までスクロールし、イベントをさらにロードすることができます(「[イベント]ビューでのイベントの分析」を参照)。
3、8パネルのサイズを変更して、パネルを閉じるコントロール。
4分析対象イベントのタイプは、ネットワーク イベントの詳細、ログ イベントの詳細、エンドポイント イベントの詳細の各見出しに反映されます。各ビューの詳細については、「[イベント]ビューでのイベントの分析」を参照してください。
5イベント タイプに利用可能な分析のタイプ。ネットワーク イベントは、テキスト、パケット、ファイルの全3種類の分析を使用できます。ログおよびエンドポイントのイベントでは、テキスト分析のみを使用します。
6これらのオプションは、分析のタイプによって異なります。詳細については、「[イベント]ビューでのイベントの分析」を参照してください。
7

イベント ヘッダーの表示/非表示、リクエストと応答の表示/非表示、イベント メタ パネル(12)の表示を行うコントロール。これらのコントロールの詳細については、「[イベント]ビューでのイベントの分析」を参照してください。

9[イベント]パネルまたは[イベント メタ]パネルが閉じている場合に再度開きます。
10イベント ヘッダーには、イベントに関するサマリ情報が表示されます。この情報は、イベント タイプ(パケット、ログ、エンドポイント)によって異なります。
11イベント データ(パケットのペイロードと呼ばれる場合があります)。ログ イベントまたはエンドポイント イベントのイベント データは、パケットに示されるリクエストと応答ではなく、通常、RAWログからのテキスト行です。
12[イベント メタ]パネルには、データで見つかったメタ キーと値が表示されます。一部のメタ データは検索可能です。双眼鏡アイコンをクリックすると、関連するデータがイベント データでハイライト表示されます(「[イベント]ビューでのイベントの分析」を参照)。

You are here
Table of Contents > 調査の参考情報 > [イベント]ビュー

Attachments

    Outcomes