調査:[調査]ビューの設定ダイアログ

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

NetWitness Platformバージョン11.0では、設定ダイアログは、[ナビゲート]ビュー用のものと[レガシー イベント]ビュー用のものの2つがあります。バージョン11.1では、[イベント]ビュー用の設定ダイアログが追加されたので、調査の設定ダイアログは3つあります。

このダイアログの設定は、[プロファイル]>[環境設定]パネル>[調査]タブで行う調査の設定のサブセットです。アナリストは、[調査]ビューでこれらの設定を編集することにより、時間を節約できます。ここで設定を変更すると、[プロファイル]ビューで同じ設定が変更されます。[プロファイル]ビューで設定を変更すると、この場所の同じ設定が変更されます。

このダイアログにアクセスするには、[ナビゲート]ビューまたは[レガシー イベント]ビューに移動し、ツールバーの[設定]オプションを選択します。

[プロファイル]>[環境設定]パネルには、[イベント]ビューの設定に対応する設定はありません。

関連トピック

簡単な説明

ここでは、[ナビゲート]ビュー、[レガシー イベント]ビュー、[イベント]ビューの設定ダイアログについて簡単に説明します。

[ナビゲート]ビューの[設定]ダイアログ

次の図は、[ナビゲート]ビューの[設定]ダイアログを示しています。[値]パネルで値をロードするときのパフォーマンスに影響を与える設定には、一般的な使用方法に基づくデフォルト値があり、アナリストはこれらの設定を自分の調査内容に合わせて調整できます。以下の表は、機能についての説明です。
これは、[ナビゲート]ビューの[設定]ダイアログです。

                                                           
機能説明
閾値[値]パネルでメタ キー値にロードするセッションの最大数の閾値を設定します。閾値を高くすると、値が正確にカウントされますが、その分ロード時間が長くなります。デフォルト値は100000です。
結果の最大数この設定は、[ナビゲート]ビューで開いているメタ キーについて、[メタ キー]メニューで[最大まで表示]を選択した場合にロードする値の最大数を制御します。デフォルト値は1000です。
最大セッション エクスポートエクスポートできるセッションの最大数を設定します。デフォルト値は100000です。
ログのエクスポート形式エクスポートされたログのファイル形式を設定します。次の4つの形式を設定できます。
  • テキスト:RAWログ形式。
  • SML: 構造化マークアップ言語形式。
  • CSV:カンマ区切り値(CSV)形式。
  • JSON:JavaScript Object Notation(JSON)形式。

メタのエクスポート形式

エクスポートされたメタ値のファイル形式を設定します。次の4つの形式を設定できます。

  • テキスト:RAWログ形式。
  • SML: 構造化マークアップ言語形式。
  • CSV:カンマ区切り値(CSV)形式。
  • JSON:JavaScript Object Notation(JSON)形式。
デバイスごとのローカル キャッシュを使用このチェックボックスをオフにすると、初回ロード後に[調査]ビューにキャッシュされたデータを表示するのではなく、新しいクエリがデータベースに送信されます。チェックボックスをオンにすると、ローカル キャッシュのデータを使用します。
デバッグ情報の表示このオプションは、階層リンクの下のwhere句の表示と、Brokerで集計したサービスごとの経過したロード時間の表示を制御します。チェックボックスをオンにすると、デバッグ情報が表示されます。デフォルト値はオフ(チェックの外れた状態)です。
値の自動ロードこのオプションは、[ナビゲート]ビューで選択したサービスの値の自動ロードを制御します。チェックボックスをオンにすると、調査するサービスを選択したときに、値が自動的にロードされます。チェックボックスをオフにすると、[値のロード]ボタンが表示されます。値をロードする前に、オプションを変更することができます。デフォルト値はオフです。
完了したPCAPのダウンロードこの設定は、調査で抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードし、PCAPフォームのデータを処理できるアプリケーション(Wiresharkなど)で抽出して開く操作を手動で実行する必要がなくなります。チェックボックスをオンにすると、オプションが有効になります。デフォルト設定は無効(チェックボックスはオフ)です。
Live Connect:リスクのある値を強調表示このオプションのチェックボックスをオフにすると、Live Connectで使用可能なコンテキストを持つすべてのメタ値が、[ナビゲート]ビューの[値]パネルでハイライト表示されます。チェックボックスをオンにすると、Live Connectでコンテキストを持つ値のうち、コミュニティによってリスクが高い/不審である/安全でないと判断された値のみが強調表示されます。デフォルトでこのオプションは無効(チェックボックスはオフ)になっています。
適用設定をただちに適用します。設定は、次回に値をロードしたときに表示されます。また、同じ変更が、[プロファイル]ビューにも適用されます。
キャンセル編集操作をキャンセルし、設定を変更せずにダイアログを閉じます。

[レガシー イベント]ビューの[設定]ダイアログ

次の図は[レガシー イベント]ビューの[設定]ダイアログの例です。また、その機能について表で説明します。

これは、[イベント]ビューの[設定]ダイアログです

                                                   
機能説明
ログのエクスポート形式エクスポートされたログのファイル形式を設定します。次の4つの形式を設定できます。
  • テキスト:RAWログ形式。
  • SML: 構造化マークアップ言語形式。
  • CSV:カンマ区切り値(CSV)形式。

  • JSON:JavaScript Object Notation(JSON)形式。

メタのエクスポート形式

エクスポートされたメタ値のファイル形式を設定します。次の4つの形式を設定できます。

  • テキスト:RAWログ形式。
  • SML: 構造化マークアップ言語形式。
  • CSV:カンマ区切り値(CSV)形式。

  • JSON:JavaScript Object Notation(JSON)形式。
完了したPCAPのダウンロードこの設定は、調査で抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードし、PCAPフォームのデータを処理できるアプリケーション(Wiresharkなど)で抽出して開く操作を手動で実行する必要がなくなります。
Live Connect:リスクのある値を強調表示チェックボックスをオンにすると、フィルタを使用して、RSAコミュニティによってリスクが高いとみなされているIPアドレスのみがフェッチされます。チェックボックスをオフにすると、NetWitness PlatformによってすべてのIPアドレスが表示されます。デフォルトでこのオプションは無効(チェックボックスはオフ)になっています。
調査ページのロードを最適化ページング オプションを設定します。最適化した場合、イベント リストで可能な限り速く結果が返されますが、イベント リストのページ移動機能が無効になります。このチェックボックスをオフにすると、イベント リストのページ移動機能が有効になり、リストの特定のページ(または最後のページ)に移動できるようになります。デフォルト値は有効(チェックボックスはオン)です。
イベント パネルのイベントを挿入モードで表示このオプションは、[レガシー イベント]パネルのページングに影響し、以前のリリースでは[ナビゲート]ビューの[設定]ダイアログにありました。チェックボックスをオンにすると、次のイベント グループがすでに表示されているイベントに追加されます。チェックボックスをオフにすると、前のイベントのページが次のページに置き換えられます。デフォルト値はオフ(チェックの外れた状態)です。
デフォルト セッション表示[イベント]ビューでのデフォルトの再構築のタイプを選択します。デフォルト値は[最適な表示]で、イベントに最も適した表示方法でイベントが表示されます。
WebビューのCSS再構築を有効化この設定では、Webコンテンツの再構築の実行方法が制御されます。有効化すると、Webの再構築にカスケード スタイル シート(CSS)とイメージが含まれるようになり、再構築の表示と元のWebブラウザの表示が一致するようになります。これには、イベントに関連するスキャニングと再構築、ターゲット イベントで使用されるスタイル シートとイメージの検索が含まれます。このオプションは、デフォルトで有効化されています。特定のWebサイトの表示に問題がある場合は、チェックボックスをオフにしてこのオプションを無効化してください。
適用設定をただちに適用します。この設定は、次回にイベントを表示したときに示されます。また、同じ変更が、[プロファイル]ビューにも適用されます。
キャンセル編集操作をキャンセルし、設定を変更せずにダイアログを閉じます。

[イベント]ビューの[環境設定]ダイアログ

バージョン11.1から、[イベント]ビューにユーザ環境設定が追加されました。この環境設定は、[イベント]ビュー>[イベント環境設定]ダイアログで設定できます。これらの設定は保持されるため、ログインして[イベント]ビューに移動するたびに適用されます。次の図は、バージョン11.3とバージョン11.4.1のダイアログの例です。次の表に、オプションの説明を示します。

[イベント環境設定]ダイアログ バージョン11.4.1の[イベント環境設定]ダイアログ

                                           
機能説明
デフォルトの[イベント]ビュー

[イベント]ビューを開くたびに表示されるデフォルトのイベント分析ビューを選択します。たとえば[ファイル]を選択すると、[イベント]ビューでイベントを調査するたびに[ファイル分析]パネルがハイライト表示されます。次にオプションを示します。

  • テキスト:イベントのRAWテキスト ペイロードを表示および分析します。
  • パケット:イベントのパケットとペイロードを表示し、対話形式で分析します。
  • ファイル:イベントのファイルのリストを表示し、1つまたは複数のファイルをダウンロードします。
デフォルトのログ形式

ログをダウンロードする際のデフォルトの形式を選択します。

  • ログのダウンロードまたはテキストのダウンロード:RAWログ(ログ)形式。
  • CSVのダウンロード:カンマ区切り値(CSV)形式。
  • XMLのダウンロード:拡張可能マークアップ言語(XML)形式。
  • JSONのダウンロード:JavaScript Object Notation(JSON)形式。
デフォルトのパケット形式またはデフォルトのネットワーク形式

パケットをダウンロードする際のデフォルトの形式を選択します。

  • PCAPのダウンロード:イベント全体をパケット キャプチャ(*.pcap)ファイルとしてダウンロードします。
  • すべてのペイロードのダウンロードまたはペイロードのダウンロード:ペイロードを*.payloadファイルとしてダウンロードします。
  • リクエスト ペイロードのダウンロード:リクエスト ペイロードを*.payload1ファイルとしてダウンロードします。
  • レスポンス ペイロードのダウンロード:レスポンス ペイロードを*.payload2ファイルとしてダウンロードします。
デフォルトのメタ形式

メタデータをダウンロードする際のデフォルトの形式を選択します。

  • CSVのダウンロード:カンマ区切り値(CSV)形式。
  • JSONのダウンロード:JavaScript Object Notation(JSON)形式。
  • テキストのダウンロード:プレーン テキスト形式。
  • TSVのダウンロード:タブ区切り値(TSV)形式。
クエリの時間形式

[イベント]ビューには、データベースの時間または現在の時間に基づいて結果を表示できます。この環境設定のデフォルト設定は[データベースの時間]です。これは[ナビゲート]ビューと[イベント]ビューでクエリ結果を表示するために使用される時間形式と同じです。
データベース時間]を選択した場合、クエリの開始時刻と終了時刻は、イベントが収集された時刻(収集時間)に基づく時刻になります。

現在の時間(Current Time)](バージョン11.3以前では[現在の時間(Wall Clock Time)])を選択した場合、クエリの実行に使用される終了時刻は現在のブラウザの時刻に基づく時刻になり、開始時刻は終了時刻と時間範囲に基づいて計算されます。

イベントのソート順(バージョン11.4以降)

[イベント]パネルに表示されているイベントの収集時間に基づいて、ソート順を設定します。結果がイベント数の上限を超えている場合、すべてのイベントをロードすることはできません。結果として返されて[イベント]パネルにロードされるイベントの一部は、ソート順の設定と一致しています。つまり、イベントの最も古い部分は、昇順が選択されているときにロードされ、イベントの最も新しい部分は、降順が選択されているときにロードされます。この設定の変更は、次回のクエリ送信時に有効になります。

ソートなし:バージョン11.4.1のデフォルトのソート方法。Coreサービスによって処理されたとおりにイベントを一覧表示します。[ソートしない]は、すべてのコア サービスの応答を待ってから選択された順序で結果を表示するのではなく、一致が見つかり次第イベントを戻すため、処理がより高速です。

昇順:バージョン11.4のデフォルトのソート方法。収集時間が最も古いイベントをリストの最初に配置します。

降順:収集時間が最も新しいイベントをリストの最初に配置します。ログを調査するにあたり、ソート順を「最も新しい収集時間が最初」に変更する必要が生じることがあります。

抽出したファイルを自動ダウンロード

[イベント環境設定]ダイアログの[デフォルトのログ形式]フィールドと[デフォルトのパケット形式]フィールドで選択したデフォルト形式のファイルの自動ダウンロードを有効にします。

選択した形式のファイルをローカル ファイル システムに自動的にダウンロードするには、このチェックボックスを選択します。このチェック ボックスを選択しない場合、ダウンロード ジョブがジョブ キューに入れられるのでファイルを手動でダウンロードできます。

タイム ウィンドウを自動的に更新

(バージョン11.3以降)サービスがポーリング(1分間隔)されたときのクエリ バーの時間範囲ウィンドウの自動更新を有効にして、最新の結果が送信されるようにします。デフォルト設定はdisabledです。

チェックボックスをオンにすると、時間範囲が更新されたときに、クエリ送信ボタン(クエリの送信)ボタンがアクティブになり、クリックして最新の結果を取得できるようになります。

チェックボックスをオフにすると、自動更新は無効になり、階層リンクの時間範囲ウィンドウが現在の結果と同期を維持します。

You are here
Table of Contents > 調査の参考情報 > [調査]ビューの設定ダイアログ

Attachments

    Outcomes